Sobre o bug do Shellshock (também conhecido como "bash bug", CVE-2014-6271), alguém pode explicar como essa vulnerabilidade funciona? Com base no teste dado em alguns posts (abaixo), parece algum tipo de injeção usando variáveis de ambiente, mas o que exatamente está ocorrendo / não está ocorrendo para evitar que isso aconteça?
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"