Shellshock je skupno ime za vrsto varnostnih težav Linuxa v lupini bash. Bash je privzeti terminal v številnih distribucijah Linuxa, kar je pomenilo, da so bili učinki hroščev še posebej razširjeni.
Opomba: ranljivost ni vplivala na sisteme Windows, saj Windows ne uporablja lupine Bash.
Septembra 2014 je Stéphane Chazelas, varnostni raziskovalec, odkril prvo težavo v Bashu in jo zasebno prijavil osebi, ki vzdržuje Bash. Sodeloval je z razvijalcem, odgovornim za vzdrževanje Basha, in razvit je bil popravek, ki je rešil težavo. Ko je bil popravek izdan in na voljo za prenos, je bila narava hrošča javnosti objavljena blizu konca septembra.
V nekaj urah po objavi hrošča so ga izkoriščali v naravi in v enem dnevu že so obstajali botneti, ki temeljijo na izkoriščanju, ki se uporablja za izvajanje napadov DDOS in ranljivosti skenira. Čeprav je bil popravek že na voljo, ga ljudje niso mogli uvesti dovolj hitro, da bi se izognili naglici izkoriščanja.
V naslednjih dneh je bilo ugotovljenih še pet povezanih ranljivosti. Spet so bili popravki hitro razviti in izdani, vendar kljub aktivnemu izkoriščanju posodobitev še vedno ni bilo nujno uporabljen takoj ali celo takoj na voljo v vseh primerih, kar vodi v večjo nevarnost stroji.
Ranljivosti so izhajale iz različnih vektorjev, vključno s sistemskimi klici spletnega strežnika, ki temeljijo na CGI, ki so bili nepravilno obravnavani. Strežnik OpenSSH je omogočil dvig privilegijev z omejene lupine na neomejeno lupino. Zlonamerni strežniki DHCP so lahko izvajali kodo na ranljivih odjemalcih DHCP. Pri obdelavi sporočil je Qmail dovolil izkoriščanje. Omejeno lupino IBM HMC bi lahko izkoristili za dostop do celotne lupine bash.
Zaradi razširjenosti hrošča, pa tudi resnosti ranljivosti in hitrega izkoriščanja Shellshock pogosto primerjajo s "Heartbleed". Heartbleed je bila ranljivost v OpenSSL, ki je uhajala vsebino pomnilnika brez kakršne koli interakcije uporabnika.