pode ser mitigada por invasores através de cabeçalhos personalizados que não estão registrados (já visto isso), o que significa que você não pode detectar esse material em arquivos de log
isto é o que eu verifiquei:
$ grep -e "() {" /var/log/nginx/*access.log
além disso, você verá alguma saída dos comandos em seu log de erros, se não for suprimida, como aqui :
[Thu Sep 25 21:16:55 2014] [error] [client ::1] --2014-09-25 21:16:55-- http://fump.8ack.org/
[Thu Sep 25 21:16:55 2014] [error] [client ::1] Resolving fump.8ack.org (fump.8ack.org)...
[Thu Sep 25 21:16:55 2014] [error] [client ::1] 46.4.8.254
[Thu Sep 25 21:16:55 2014] [error] [client ::1]
[Thu Sep 25 21:16:55 2014] [error] [client ::1] Reusing existing connection to fump.8ack.de:80.
[Thu Sep 25 21:16:55 2014] [error] [client ::1] HTTP request sent, awaiting response...
[Thu Sep 25 21:16:55 2014] [error] [client ::1] 200 OK
[Thu Sep 25 21:16:55 2014] [error] [client ::1] Length: 1631 (1.6K) [text/html]
[Thu Sep 25 21:16:55 2014] [error] [client ::1] Saving to: 'STDOUT'
[Thu Sep 25 21:16:55 2014] [error] [client ::1]
[Thu Sep 25 21:16:55 2014] [error] [client ::1] 0K . 100% 8.27M=0s
[Thu Sep 25 21:16:55 2014] [error] [client ::1]
[Thu Sep 25 21:16:55 2014] [error] [client ::1] 2014-09-25 21:16:55 (8.27 MB/s) - written to stdout [1631/1631]