Dieses allow_url_fopen erlaubt es eben, dass an gewissen Stellen / bei gewissen Funktionen nicht nur eine lokale Datei eingebunden / aufgerufen werden kann, sondern eben auch eine externe (über den Wrapper). Natürlich hat das möglicherweise Konsequenzen in Sachen Sicherheit, das liegt aber weniger an der Funktion als solche, sondern viel mehr an den Scripten, die sie verwenden.
Du versuchst da oben also per getimagesize() auf ein Bild zuzugreifen, das nicht lokal auf Deinem Server liegt. Dazu brauchst Du den http-Wrapper oder wie ich zur Datenübertragung den SSH-Wrapper. Also man muss da dann schon aufpassen, was die Systeme da so aufrufen, ob das feste Vorgaben sind oder eventuell von Usereingaben vorgegeben wird.
Ein echo file_get_contents(domain-mit-schadcode.net); wäre unter Umständen nicht sonderlich gut.
Eingestellt wird es in der php.ini. Entweder in der globalen oder in einer eigenen, falls es sowas gibt - seit PHP 4.3.4. Bei Versionen davor geht es auch per ini_set() in der htaccess. Der Defaultwert von allow_url_fopen ist allerdings 1, eben weil es keine Sicherheitslücke öffnet, sondern 0 nur versucht eine mögliche im Script zu "schließen".