Если определить переменную среды типа VAR='() { ignored; }; /bin/id', то при импортировании этой переменной в новый экземпляр bash'а этот самый /bin/id внезапно выполнится.
Основной предполагаемый вектор атаки — CGI, который передаёт полученные от клиента данные через переменные среды. И если они где–то попадут в bash, то он может запустить произвольную команду.
Вторая потенциально опасная штука — ssh, который может передавать клиентские переменные в создаваемую сессию, если на сервере это разрешено директивой AcceptEnv. По умолчанию sshd не принимает никакие переменные, но во многих дистрибутивах разрешаются AcceptEnv LANG LC_*.
Мопед не мой http://www.csoonline.com/article/2687265/application-security/remote-exploit-...