Stavo leggendo su Shellshock e come funziona. Da quanto ho capito sfrutta il fatto che il codice viene eseguito anche dopo l'esportazione della definizione della funzione che viene esportata come variabile env.
Perché il fatto che tu possa impostare variabili ambientali su un server è un grosso problema di sicurezza?