Eu acredito que o que você está vendo é perfeitamente seguro: o processo pai baixou internamente o root perms para www-data para os bits que fazem o processamento da requisição. O processo em si ainda é de propriedade do root, já que o root o iniciou e ainda precisa rodar algumas coisas como root se elas forem invocadas (como manipuladores de sinais para manipular o recarregamento do (s) arquivo (s) de configuração e reconfigurar o servidor). p>