„Shellshock“ yra bendras „Linux“ saugos problemų „bash“ apvalkale pavadinimas. „Bash“ yra numatytasis terminalas daugelyje „Linux“ paskirstymų, o tai reiškia, kad klaidų poveikis buvo ypač paplitęs.
Pastaba: pažeidžiamumas neturėjo įtakos „Windows“ sistemoms, nes „Windows“ nenaudoja „Bash“ apvalkalo.
2014 m. rugsėjį Stéphane'as Chazelasas, saugumo tyrinėtojas, atrado pirmąją „Bash“ problemą ir privačiai pranešė apie tai „Bash“ prižiūrinčiam asmeniui. Jis dirbo su kūrėju, atsakingu už „Bash“ priežiūrą, ir buvo sukurtas pleistras, kuris išsprendė problemą. Kai pataisa buvo išleista ir ją galima atsisiųsti, klaidos pobūdis buvo paskelbtas viešai rugsėjo pabaigoje.
Praėjus kelioms valandoms nuo klaidos paskelbimo, ji buvo išnaudojama gamtoje ir per dieną jau buvo botnetų, pagrįstų išnaudojimu, naudojamu DDOS atakoms ir pažeidžiamumui vykdyti nuskaito. Nors pataisa jau buvo prieinama, žmonės negalėjo jos įdiegti pakankamai greitai, kad išvengtų išnaudojimo.
Per ateinančias kelias dienas buvo nustatytos dar penkios susijusios spragos. Vėlgi pataisos buvo greitai kuriamos ir išleistos, tačiau nepaisant aktyvaus naudojimo, atnaujinimų vis tiek nebuvo būtinai taikomas nedelsiant arba net iš karto pasiekiamas visais atvejais, todėl kyla daugiau pavojų mašinos.
Pažeidžiamumas atsirado dėl įvairių vektorių, įskaitant netinkamai tvarkomus CGI pagrindu veikiančių žiniatinklio serverių sistemos iškvietimus. OpenSSH serveris leido padidinti privilegijas iš riboto apvalkalo į neribotą apvalkalą. Kenkėjiški DHCP serveriai galėjo vykdyti kodą pažeidžiamuose DHCP klientuose. Apdorojant pranešimus, Qmail leido išnaudoti. IBM HMC ribotas apvalkalas gali būti naudojamas norint pasiekti pilną bash apvalkalą.
Dėl plačiai paplitusio klaidos pobūdžio, taip pat pažeidžiamumų ir didelio išnaudojimo, Shellshock dažnai lyginamas su „Heartbleed“. „Heartbleed“ buvo „OpenSSL“ pažeidžiamumas, dėl kurio nutekėjo atminties turinys be vartotojo sąveikos.