Do velmi rozšířeného shellu Bash se před celými dvaceti lety (ve verzi 1.14) dostala bezpečnostní chyba, spočívající v možnosti útočníka vsunout do proměnné prostředí příkazy umožňující spuštění kódu. Příležitostí ke zneužití chyby je řada, typickými případy jsou webový server využívající CGI (moduly mod_cgi a mod_cgid v případě Apache HTTP Serveru), vynucení příkazu pomocí ForceCommand v OpenSSH nebo skripty spouštěné některými DHCP klienty.
Chyba nepostihuje jen GNU/Linux, ale všechny operační systémy využívající Bash, tedy například i Apple OS X. První vydaná oprava se ukázala jako nedostatečná, zranitelnost částečně přetrvala. Proto kdo aktualizoval Bash po vydání první opravy, měl by aktualizovat znovu na úplnou opravu. Vzhledem k tomu, že v některých případech není aktualizace možná (starší spotřební elektronika, routery apod.), může si chyba někdy vyžádat složitější řešení, spočívající případně i ve výměně přístroje za nový.