why would simply executing it be a security vulnerability?
Non lo è.
base64_decode
fa esattamente quello che ti aspetteresti: decodifica una stringa.
Inoltre non ci sono vulnerabilità conosciute o non ci sono state nel passato (c'era un problema di overflow intero in base64_encode
- CVE-2003-0861 - ma PHP non lo considera un problema di sicurezza).
Suppongo che il link vieti il divieto perché può essere usato per offuscare i dati. Possono avere alcuni filtri in atto per impedire l'esecuzione di codice pericoloso e potrebbero temere che base64_decode
possa essere usato per aggirare questi filtri. Non penso che questo sia necessario o utile, ma potrebbe essere il loro modo di pensare.