> я правильно понимаю, что панель находится гдето в инете, а сами сервера
> которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных
> хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами?

Правильно. Но не обязательно так. Если у хостера свой ДЦ то и управление серверами внутри его сети. И панельку компания естественно поставит где-то внутри своей сети.

> каким образом ваша веб-панель лазит на эти сервера? какие права она требует
> для своей работы на этих серверах? где и как она хранит
> учетные данные для такового доступа?

Уважаемый, всё ведь подробно расписано в мануалах :) Панель подключается к внешним серверам по SSH. Не обязательно вбивать в панель рутовый логин+пароль, можно и пользовательский. Просто при юзерском доступе чуть сложнее будет перезагрузить веб-сервер, но это тоже мелочи жизни.

> я правильно понимаю что для работы такой панели у PHP должен быть
> разрешен exec?

Не совсем понял суть вашего вопроса. В PHP есть функция exec(), вот документация к ней: http://php.net/manual/en/function.exec.php
Если вы об этой функции - неправильно. Эта функция нигде в панели не используется. Хотя если-бы и использовалась то всёравно не вижу в этом проблемы. После загрузки сертификата на ваш сервер по SSH панель (опционально) может выполнить на вашем сервере какую-нибудь команду, например service httpd reload, чтобы сервер подхватил обновлённый сертификат.

Вы можете установить панель на небольшую VPS-ку внутри сети, закрыть ей доступ в интернет и не беспокоиться что злой разработчик внедрит в неё бекдор и украдёт ваши пароли. Кроме того исходники ведь открыты.