その通りですね 今問題だと思っている事は
パスワードファイルが606(wwwのユーザから読めないといけないので)でcgiは755。
で、ftpはchroot。この状態で他のユーザーがcgiを使って自分のcgiを読めるなら
パスワードは隠しようがないなと言う事です。