Capisco che l'esecuzione di apache / mod_php sia sicura, ma non ho sentito parlare del caso di php in modalità fastcgi (via nginx / php5-fpm), quindi, chiunque può confermare che questo è sicuro?
FastCGI comunica tra il server web e l'host CGI utilizzando IPC anziché variabili di ambiente, quindi il vettore di attacco principale (le variabili di ambiente di impostazione del server Web per CGI) non esiste più. Tuttavia, è ancora possibile che tu venga attaccato se lo script PHP stesso imposta le variabili di ambiente in base all'input dell'utente prima di eseguire bash
.
Leggi altre domande sui tag php bash shellshock