Entiendo que ejecutar apache / mod_php es seguro, pero no he escuchado sobre el caso de ejecutar php en modo fastcgi (a través de nginx / php5-fpm), entonces, ¿alguien puede confirmar que esto también es seguro?
FastCGI se comunica entre el servidor web y el host CGI utilizando IPC en lugar de las variables de entorno, por lo que el principal vector de ataque (las variables de entorno de configuración del servidor web para CGI) se ha ido. Sin embargo, aún es posible que te ataquen si tu propio script PHP establece variables de entorno basadas en la entrada del usuario antes de ejecutar bash .
Lea otras preguntas en las etiquetas bash shellshock php