Το Shellshock είναι ένα συλλογικό όνομα για μια σειρά ζητημάτων ασφάλειας Linux στο κέλυφος bash. Το Bash είναι το προεπιλεγμένο τερματικό σε πολλές διανομές Linux, γεγονός που σήμαινε ότι τα αποτελέσματα των σφαλμάτων ήταν ιδιαίτερα διαδεδομένα.
Σημείωση: Η ευπάθεια δεν επηρέασε τα συστήματα των Windows, καθώς τα Windows δεν χρησιμοποιούν το κέλυφος Bash.
Τον Σεπτέμβριο του 2014, ο Stéphane Chazelas, ένας ερευνητής ασφαλείας, ανακάλυψε το πρώτο ζήτημα στο Bash και το ανέφερε ιδιωτικά στο άτομο που διατηρεί το Bash. Συνεργάστηκε με τον προγραμματιστή που είναι υπεύθυνος για τη συντήρηση του Bash και αναπτύχθηκε μια ενημέρωση κώδικα που έλυσε το πρόβλημα. Μόλις η ενημέρωση κώδικα κυκλοφόρησε και ήταν διαθέσιμη για λήψη, η φύση του σφάλματος κυκλοφόρησε στο κοινό κοντά στα τέλη Σεπτεμβρίου.
Μέσα σε λίγες ώρες από την ανακοίνωση του σφάλματος, γινόταν η εκμετάλλευση του στην άγρια φύση και μέσα σε μια μέρα υπήρχαν ήδη botnet που βασίζονταν στο exploit που χρησιμοποιούνταν για την εκτέλεση επιθέσεων DDOS και ευπάθειας σαρώσεις. Παρόλο που ένα patch ήταν ήδη διαθέσιμο, οι άνθρωποι δεν μπορούσαν να το αναπτύξουν αρκετά γρήγορα για να αποφύγουν τη βιασύνη της εκμετάλλευσης.
Τις επόμενες ημέρες, εντοπίστηκαν πέντε ακόμη σχετικά τρωτά σημεία. Και πάλι οι ενημερώσεις κώδικα αναπτύχθηκαν και κυκλοφόρησαν γρήγορα, αλλά παρά την ενεργή εκμετάλλευση, οι ενημερώσεις εξακολουθούσαν να μην έχουν γίνει αναγκαστικά εφαρμόζεται άμεσα ή ακόμη και άμεσα διαθέσιμη σε όλες τις περιπτώσεις, με αποτέλεσμα να διακυβεύεται περισσότερο μηχανές.
Τα τρωτά σημεία προήλθαν από μια ποικιλία διανυσμάτων, συμπεριλαμβανομένων των κλήσεων συστήματος διακομιστών ιστού που βασίζονται σε CGI που δεν χειρίζονται σωστά. Ο διακομιστής OpenSSH επέτρεψε την ανύψωση του προνομίου από ένα περιορισμένο κέλυφος σε ένα απεριόριστο κέλυφος. Οι κακόβουλοι διακομιστές DHCP ήταν σε θέση να εκτελέσουν κώδικα σε ευάλωτους πελάτες DHCP. Κατά την επεξεργασία μηνυμάτων, το Qmail επέτρεψε την εκμετάλλευση. Το περιορισμένο κέλυφος IBM HMC θα μπορούσε να αξιοποιηθεί για να αποκτήσει πρόσβαση σε ένα πλήρες κέλυφος bash.
Λόγω της ευρέως διαδεδομένης φύσης του σφάλματος καθώς και της σοβαρότητας των τρωτών σημείων και της βιασύνης της εκμετάλλευσης, το Shellshock συγκρίνεται συχνά με το "Heartbleed". Το Heartbleed ήταν μια ευπάθεια στο OpenSSL που διέρρευσε τα περιεχόμενα της μνήμης χωρίς καμία αλληλεπίδραση με τον χρήστη.