Chiunque può configurare il proprio server affinché i files *.js (per esempio) eseguano file php. Con l'effetto che tu credi di richiamare staticamente un semplice file, ma invece richiami una "pagina php" a tutti gli effetti.
Quindi il "rischio" non è determinato dal fatto che richiami un file php invece che js, quanto il fatto che sia un sito esterno.

Questo ha il solo effetto sulla privacy dei visitatori che dovrebbero essere informati, tramite il famoso cookie banner, dei cookies che quel dominio dirà al browser di settare. (e quasi sicuramente lo farà, presumibilmente sarà qualche script di statistica).

Per rispondere direttamente alla domanda: lato back non può succedere nulla.