Shellshock on koondnimi paljudele Linuxi turbeprobleemidele bash-shellis. Bash on paljude Linuxi distributsioonide vaiketerminal, mis tähendas, et vead olid eriti laialt levinud.
Märkus. Haavatavus ei mõjutanud Windowsi süsteeme, kuna Windows ei kasuta Bashi kesta.
Septembris 2014 avastas turvateadlane Stéphane Chazelas Bashis esimese probleemi ja teatas sellest privaatselt Bashi hooldavale isikule. Ta töötas koos Bashi hooldamise eest vastutava arendajaga ja töötati välja plaaster, mis probleemi lahendas. Kui plaaster oli välja antud ja allalaadimiseks saadaval, avalikustati vea olemus septembri lõpus.
Mõne tunni jooksul pärast vea väljakuulutamist hakati seda looduses ära kasutama ja ühe päeva jooksul DDOS-i rünnakute ja haavatavuse sooritamiseks kasutatud ärakasutamisel põhinevad juba robotvõrgud skaneerib. Kuigi plaaster oli juba saadaval, ei saanud inimesed seda piisavalt kiiresti kasutusele võtta, et vältida ärakasutamise kiirustamist.
Järgmise paari päeva jooksul tuvastati veel viis seotud haavatavust. Jällegi töötati kiiresti välja ja väljastati plaastreid, kuid vaatamata aktiivsele kasutamisele värskendusi ikka veel ei tehtud kohaldada kohe või isegi kohe saadaval kõigil juhtudel, mis toob kaasa rohkem ohtusid masinad.
Haavatavused tulenesid mitmesugustest vektoritest, sealhulgas CGI-põhistest veebiserveri süsteemikõnedest, mida käsitleti valesti. OpenSSH-server lubas õiguste tõstmist piiratud kestast piiramata kestaks. Pahatahtlikud DHCP-serverid suutsid käivitada koodi haavatavatel DHCP-klientidel. Sõnumite töötlemisel lubas Qmail ära kasutada. IBM HMC piiratud kesta saab kasutada täielikule bash-shellile juurdepääsu saamiseks.
Vea laialt levinud olemuse, samuti haavatavuste tõsiduse ja ärakasutamise kiirustamise tõttu võrreldakse Shellshocki sageli Heartbleediga. Heartbleed oli OpenSSL-i haavatavus, mis lekitas mälu sisu ilma kasutaja sekkumiseta.