Eben PHP 7.x hat eigentlich sein EOL erreicht. So lange man kein Enterprise Linux findet, wo der Maintainer das aktiv mit Patches versorgt, hat es insbesondere in Verbindung mit DSGVO relevanten Daten nichts zu suchen.
In dem Fall, dass einm maintainer es aktiv mit Patches versorgt, muss man genauer schauen - dann ist eine pauschalisierte Aussage nicht möglich.