当 exec() 函数没有被禁用时，会存在一些安全风险，因为该函数可以执行外部系统命令，如果不加以控制和检查，可能导致以下安全问题：

1. 命令注入（Command Injection）：恶意用户可能通过在输入中插入恶意命令来执行未经授权的操作。如果输入未经正确过滤，恶意用户可以执行危险的系统命令，造成数据泄露、系统瘫痪或其他安全问题。
2. 权限提升（Privilege Escalation）：恶意用户可以利用exec()函数执行特权命令，尝试提升其权限级别从而对系统进行更多操作。这可能会导致未经授权的访问或系统崩溃。
3. 安全漏洞利用：一些恶意脚本可能利用exec()函数来执行针对服务器的攻击，利用已知的安全漏洞来入侵服务器或系统。

为了减少这些潜在的安全风险，应该采取以下预防措施：

• 永远不要将用户提供的数据作为 exec() 的参数直接传入，应始终对输入数据进行严格的过滤和验证。
• 尽量减少使用 exec() 函数，尝试寻找更安全的替代方法来达到您的目的。
• 限制执行的命令范围，确保只有受信任的命令才能被执行。
• 使用绝对路径来指定要执行的命令，减少恶意命令的可能性。
• 不要以超级用户（例如root）身份运行PHP脚本，避免给予脚本不必要的权限。

总的来说，虽然 exec() 函数提供了方便快捷的功能，但是要谨慎使用以防止潜在的安全风险。最好是在确保输入安全的情况下进行调用，并限制其执行能力范围。