что в ней криминального?(вставлена в индекс шаблона)
ну криминальным они считают то, что в строке в качестве начального пути используется переменная, т.е. теоретически, при включенном режиме register_globals можно подменить значение этой переменной и вместо указанной ссылке, у пользователя может открыться совсем другой файл. в приведенном примере, это конечно не критично, ничего там ужасного не произойдет, но если бы это была ссылка на JavaScript, было бы не очень хорошо.
Поэтому в принципе, обычно рекомендуют при указании путей к файлам, исопльзовать не переменные, а константы. Чтобы в следствии каких-то кривых настроек нельзя было переопределить их без ведома пользователя.