O que exatamente você quer dizer com "não está atualizado" ? Se não foi corrigido desde 2014, então sim, é ruim. Muito ruim na verdade - apenas a um passo de obter sua própria página. As implicações de segurança do bug do Shellshock são bastante abrangentes (além de outras coisas, ele pode afetar qualquer software que use popen() ) - você deve atualizá-lo o mais rápido possível (seja obtendo a mesma versão corrigida para os problemas específicos ou uma versão de ponta, que também é corrigida).
Geralmente, a execução de software não atualizado só é aceitável (do ponto de vista segurança ) em sistemas que processam entrada segura o tempo todo. Qualquer coisa que um invasor possa atingir deve ser atualizada regularmente. "Pode ser alcançado" significando "poder influenciar" aqui - independentemente de ser via rede à qual o sistema está conectado ou um usuário legítimo executando algum código copiado de uma Internet fórum.
Por favor, note que apenas olhando para o número da versão não tem que significar muito - muitos sistemas similares ao UNIX removem ativamente o software que distribuem. Muitas vezes vi clientes reclamando sobre o pacote "antigo", porque eles não perceberam que os bugs de segurança foram corrigidos enquanto o resto do código permaneceu intocado. Os scanners de segurança especialmente automatizados são bons para produzir este tipo de falsos positivos. A informação que você precisa é encontrada no changelog do pacote.