Не знаю насчёт крупных сайтов с большим количеством страниц и посещений, но по идее должна отрабатывать более-менее нормально. Вот тут
они пишут "It's dependable & stable. It has been around, runs on a LAMP stack and it handles sites with hundreds of thousands of visitors with no problem.", то есть предполагается, что сотни и тысячи пользователей - не проблема.
По факту может сказать наверно только тот, кто использовал на живом проекте с большим количество страниц и посещаемостью, но вообще мне кажется большинство всё-таки использует для более-менее простеньких сайтов, т.к. concrete5 как раз позволяет создать сайт с нуля чуть ли не за считанные часы.
По поводу безопасности, вроде security issues в concrete5 не было засвечено, да и вообще судя по ядру, проблем быть не должно - для работы с базой используется adodb библиотека, так что SQL injection быть не должно. От file injection тоже вроде всё прикрыто.
Я думаю, ядро цмски довольно надёжно и безопасно. Куда большую опасность представляют из себя дополнения, написанные кривыми руками. Так что не стоит скачивать их из непроверенных источников, и не лишним будет быстренько пробежаться по коду. Зачастую достаточно одного взгляда на код, чтобы усомниться в качестве программера.