Что это (базируется) строка CMD в среднем system.log? Почему это там?

Вы нарубили часть строки журнала, которая обеспечит больше контекста о том, что это означает.

Это было бы что-то как:

syslog:Mar 12 10:17:01 hostname CRON[4154]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)

то, что это говорит CRON, указывает, что было сгенерировано кроном периодический демон выполнения. После двоеточия Вы видите, что оно выполнило команду как пользователя root. Команда была вещью в круглых скобках после CMD.

при установке PHP он добавляет crontab запись для чистки устаревших сессий, который выполняется crontab демоном. Кроме связанной с кроном информации я упомянул, сама команда проверяет, что/usr/lib/php5/maxlifetime и/var/lib/php5 существуют, затем использует эти find команда для определения местоположения файлов сессии под/var/lib/php5, более старым, чем число, содержавшееся в/usr/lib/php5/maxlifetime, который это тогда удаляет.

Это - сама команда:

[ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete

, Если Вы хотите понять его лучше, я предлагаю читать это для условий вначале:

http://tldp.org/HOWTO/Bash-Prog-Intro-HOWTO.html

тогда этот ответ для основ находки:

, Как может, я использую, находят команду более эффективно?

, Если Ваш вопрос о том, безопасна ли эта команда, тогда да, это не угроза безопасности никакого вида и совершенно безопасно видеть это выполнение периодически.