Acabo de leer sobre Shellshock y cómo funciona. Por lo que entendí, explota el hecho de que el código se está ejecutando incluso después de la exportación de la definición de la función que se exporta como una variable env.
¿Por qué el hecho de que pueda establecer variables de entorno en un servidor no es un gran problema de seguridad?