Em 2014, houve uma exploração no mundo real para uma vulnerabilidade de Bash apelidada de Shellshock. Como a maioria das vulnerabilidades em softwares comuns, foi lançado o boletim Common Vulnerabilities and Exposures (CVE), CVE-2014-6278. O Shellshock é uma exploração remota do Bash que permite a execução de código arbitrário no host remoto por meio de vários vetores de ataque em pilhas comuns de software de servidor, incluindo os módulos cgi do Apache e o OpenSSH.
A vulnerabilidade afeta todas as versões do Bash de 1989 a 2014, quando foi corrigida depois que as explorações criadas facilmente foram amplamente demonstradas.
Para ler mais:
Apresentação do Shellshock da OWASP, PDF
Pergunta Shellshock ServerFault, 2014
Acredito que a maioria das versões disponíveis no Distro Repos foram corrigidas.
Correção: Shellshock é uma família de vulnerabilidades ... CVE-2014-6271, CVE-2014-7186, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 , CVE-2014-7187
E é bom lembrar que isso pode afetar facilmente uma LAN se houver encaminhamento de porta para coisas como servidores da Web Apache ou SSH ... bem como dispositivos da Internet of Things não corrigidos (e provavelmente inatingíveis).