È un bug che permette di eseguire dei comandi in una shell bash sfruttando le variabili d'ambiente.
Pericoloso a prima vista, ma è già in risoluzione: le distro hanno già rilasciato degli aggiornamenti e i dispositivi embedded usano la shell di busybox che è immune al problema.
Anche OSX ne è affetto, ma non hanno rilasciato ancora nulla
