use LWP::Simple;
$hoge = get("http://hoge.foo/?" . $ENV{'QUERY_STRING'});
これって危険ですか?
よろしくお願いします。
前提条件が分からないので、残念ながら適切な回答はできません。
ご質問のスクリプトは、広くインターネットに公開しているCGIですか? であれば、何らかの対策を検討する必要はあります。
しかし、"http://hoge.foo/" の処理内容が分からないと、入力パラメタに対してどんな対策を打てばよいのか分かりません。
もし "http://hoge.foo/" の中で必要なクロスサイトスクリプティング対策を取っているならば、入力パラメタに対策を施す必要はありません。
また、"http://hoge.foo/" が第三者の製作したプログラムであり、戻り値に不正な値が入っている可能性があるならば、$hoge に対してバリデーションをかける必要があります。
しかし、正しい $hoge の内容が分からないので、何ともお答えしようがありません。
追記です。
危険だとした場合、簡単な対応策(コード)を教えてください。