Wenn ich's über die url-Zeile aufrufe, bekomme ich nur den perl-Quelltext ausgegeben. Sieht so aus, als würde ich mit SSI eine Sicherheitlücke ausnutzen, so daß ich das script aufrufen kann, obwohl es nicht in einem cgi-Verzeichnis liegt.

Nicht unbedingt.
Wenn Du das Skript über die URL-Zeile aktivierst, dann muß der Webserver aus seiner Konfiguration, ggf. aus dem Dateinamen des Skripts erraten, daß es ein CGI-Skript sein soll. Vielleicht hast Du einfach nicht eine der bei Dir erlaubten Endungen für CGI-Skripts (welche konfigurierbar sind) verwendet.
Bei SSI-EXEC ist schon durch den Kontext klar, daß es ein CGI-Aufruf sein soll - da ist der Dateiname möglicherweise egal.

wenn ich's über die url-Zeile aufrufe, bekomme ich nur den perl-Quelltext ausgegeben. Sieht so aus, als würde ich mit SSI eine Sicherheitlücke ausnutzen, so daß ich das script aufrufen kann, obwohl es nicht in einem cgi-Verzeichnis liegt.

Möglicherweise hat Dein Webmaster nicht begriffen, daß SSI und SSI-EXEC zwei paar Stiefel sind. Vielleicht darfst Du aber auch normales CGI und weißt es nur nicht.

Das funktioniert und, nochmal zur Erinnerung, es funktioniert in JEDEM Verzeichnis, es muß: nicht als cgi-Verzeichnis angemeldet sein.

Aber eben als SSI-EXEC-Verzeichnis. Wäre es nur ein SSI-Verzeichnis, dann dürftest Du nur INCLUDE und nicht auch EXEC.