Sí, es entendible la cuestión de seguridad.
Al menos para debugear y ver si el problema es ese, podrías habilitarlo un minuto para OJS (por Apache o alguna configuración restringida, no global al server) y chequear si pasándolo a ON te anda.
Si funciona de ese modo, quizás podrías analizar alguna alternativa mejor. No sé la verdad si es obligatorio el uso de esa función, quizás puedas reescribirla.
Edit: al menos para agosto de 2020 está esta respuesta: