Como linha de base, dar acesso a qualquer coisa em Write em uma pasta de conteúdo é um furo potencialmente explorável. Se alguém puder gravar nesse local, poderá criar (por exemplo) código não autorizado ou inesperado ou desfiguração nesse local.
PHP é um processo que é executado com uma identidade de usuário; os processos não possuem uma identidade inerente por conta própria *, eles agem em nome da identidade que os inicia.
Para responder à pergunta "melhor alternativa": se seu aplicativo precisar, você precisará. Mas você está à mercê do aplicativo recebendo a segurança (e a segurança de quaisquer aplicativos, scripts ou ferramentas publicadas internas) corretamente.
* pedantry corner: Obviamente, os processos têm um token de processo; a questão implicava que era possível conceder permissões diretamente a um EXE e não ao usuário desse EXE, o que não é possível.