Lembre-se de que suexec não elimina todos os problemas de segurança e lida apenas com um subconjunto muito pequeno de problemas. Você menciona que um hacker ainda pode comprometer seu site, mas como um usuário diferente - o que é verdade. Mas considere isso - em um ambiente de hospedagem compartilhada, onde todas as instâncias do Apache estão sendo executadas como www-data , um processo explorado do Apache agora tem acesso a tudo o que é www-data , o que provavelmente abrange vários usuários.
Portanto, se você tivesse um usuário que pudesse visualizar seus próprios arquivos, tivesse um shell preso (se o hacker pudesse explorar e fazer login como usuário), desativado, etc., explorar esse usuário, especificamente, tem apenas um efeito limitado. O objetivo aqui não é impedir que hackers entrem, mas limitar seus danos assim que estiverem. Como o CGI pode ser explorado, ainda cabe a você garantir que seus scripts ainda estejam protegidos.