Weil es gerade so aktuell ist: mod_security2 in der neueren Version lässt sich nicht mehr über .htaccess abschalten. Um es dennoch per VHost kontrollieren zu können reicht ein Eintrag in der entsprechenden vhost.conf:

SecRuleEngine Off

Diese Anweisung kommt in die <VirtualHost…>…</Virtualhost> Umgebung, nicht in die <Direcorty>…</Directory>. Damit ist es auch unter Confixx über die httpd-specials möglich, mod_security per User auszuschalten.