Shellshock הוא שם כולל לסדרה של בעיות אבטחה של לינוקס במעטפת bash. Bash הוא מסוף ברירת המחדל בהפצות לינוקס רבות, מה שאומר שההשפעות של הבאגים היו נפוצות במיוחד.
הערה: הפגיעות לא השפיעה על מערכות Windows מכיוון ש-Windows אינו משתמש במעטפת Bash.
בספטמבר 2014, סטפן צ'אזלס, חוקר אבטחה, גילה את הנושא הראשון ב-Bash ודיווח עליו באופן פרטי לאדם המחזיק ב-Bash. הוא עבד עם היזם האחראי לתחזוקת Bash ופותח תיקון שפתר את הבעיה. לאחר שהתיקון שוחרר וזמין להורדה, אופי הבאג שוחרר לציבור לקראת סוף ספטמבר.
בתוך שעות מההודעה על הבאג, הוא נוצל בטבע ותוך יום כבר היו רשתות בוטים המבוססות על הניצול המשמש לביצוע התקפות DDOS ופגיעות סריקות. למרות שתיקון כבר היה זמין, אנשים לא היו מסוגלים לפרוס אותו מהר מספיק כדי להימנע מהעומס של ניצול.
במהלך הימים הבאים זוהו עוד חמש נקודות תורפה קשורות. שוב התיקונים פותחו ושוחררו במהירות, אך למרות ניצול פעיל, העדכונים עדיין לא היו בהכרח מיושם באופן מיידי או אפילו זמין באופן מיידי בכל המקרים, מה שמוביל לפגיעה יותר מכונות.
הפגיעויות הגיעו ממגוון וקטורים, כולל קריאות מערכת מבוססות CGI של שרת אינטרנט שטופלו בצורה שגויה. שרת OpenSSH אפשר העלאת הרשאות ממעטפת מוגבלת למעטפת בלתי מוגבלת. שרתי DHCP זדוניים הצליחו להפעיל קוד על לקוחות DHCP פגיעים. בעת עיבוד הודעות, Qmail אפשרה ניצול. ניתן לנצל את המעטפת המוגבלת של IBM HMC כדי לקבל גישה למעטפת bash מלאה.
בשל האופי הנרחב של הבאג כמו גם חומרת הפגיעות והעומס של ניצול, Shellshock מושווה לעתים קרובות ל-"Heartbleed". Heartbleed הייתה פגיעות ב-OpenSSL שהדליפה את תוכן הזיכרון ללא כל אינטראקציה של המשתמש.