echo $begrueszung;

Der Server benötigt nur Leserechte, mehr nicht. Das Hilfsprogramm htpasswd läßt sich über einen Prozess mittels PHP bedienen. Dabei erstellt / ändert es Datein im Modus 0644.

Wo siehst du eigentlich den Unterschied, ob das CGI-PHP-Script die Schreibrechte hat oder der Server mit PHP-Modul?

Was genau interessiert dort der User (der bei PHP als Handler User und Group des Servers und beim CGI dem angegebenen SuexecUserGroup entspricht)?

Das ist jetzt deine Mutmaßung, dass das Ganze so wie du es eben beschrieben hast läuft. In dem Fall wäre das mit den Schreibrechten auch richtig.
Als PHP-Modul oder ohne SuexecUserGroup sieht das natürlich anders aus. Der OP hat nicht gesagt, was bei ihm/seinem Hoster läuft.

Und die Sicherheitseinstellungen des Servers müssen auf das PHP-Skript, dass die Sicherheitseinstellungen des Servers ändert, wirken. Sonst könnte ja jeder kommen...
Anders ausgedrückt: Der Server muss auch das Script schützen, welches die Zugangsmodalitäten zu anderen Seiten des Projekts regelt. Und je nach Hierarchientiefe kann das zu einem verknüpften organisatorischen und Sicherheits-Problem werden.

echo "$verabschiedung $name";