Die Lücke (CVE-2014-6271) wurde von dem Entwickler Stephane Chazelas entdeckt. Er hat herausgefunden, dass sich in Umgebungsvariablen Code einfügen lässt, der beim Start einer neuen Shell ungeprüft ausgeführt wird. Sicherheitsexperten vergleichen die Lücke bereits mit dem Heartbleed-Bug. Dementsprechend wird sie im Netz bereits als "Bashbleed" bezeichnet. Programme, mit denen die Schwachstelle ausgenutzt werden kann, finden sich bereits im Netz.

Weiters kann dies auch diverse Endgeräte betreffen, die Linux als Fundament nutzen - etwa Home-Router und Wireless-Access-Points.