Die Frage ist nun wieder, wie PASE dann und ob überhaupt benutzt wird.
Die Unsicherheit betrifft ausschließlich "exportierte Funktionen via Environment-Variablen".

Wird das in der Kundenumgebung genutzt?
Ist der Pase-Aufruf extern über das Internet zugänglich, denn von wo soll denn der Angriff kommen, wenn nicht von Extern?

Ich muss ja nun erst mal explizit einen CALL QP2TERM durchführen.

Die Hinweise deuten auf Linux/Unix-System hin, in denen diese Shell als Benutzeroberfläche (Kommando-Interface) verwendet wird.
Dies ist ja nun mit Pase definitiv nicht möglich.

An Stelle der Pase-Umgebung kann man ja nun auch einiges mit der QSH (QShell) verwenden.