bashのリモートコードが実行できてしまうバグといっていいでしょう。

CGIは、入力パラメータを環境変数として受けることから、CGIを通じて（このバグを衝いて、任意のコードが）リモートサーバから可能になるから問題ですね。

Apacheで、mod_cgiを立てていると、Apacheユーザーのシェルをリモートから叩けるということです。
DHCPなどでも同様の問題が指摘されています。

lang
1env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

というコマンドをbashから叩くと、vulnerableがechoできてしまうのが、脆弱性
です。

問題を複雑にしたのは、パッチリリース後、別のバグが発見されたからです。

lang
1env X='() { (a)=>\' sh -c "out echo not patched"

というコマンドを叩くと、outというファイルが吐き出され、not patchedが出力されます。
(>out echo "not patched"と解釈されてしまうのですね)

現在は、これらの一連のバグは修正されていますので、必ずディストリビュータの提供するbashを最新版にアップデートしましょう。

私の感想は、CGI(mod_cgi)はもうそろそろ役目を終えたかなという感想です。

mod_cgiを実行すると、一回環境変数に受けるのは、仕様としてどうかなと思います。今回のバグ修正でbashが完璧な物になったとは誰も言い切れないですよね。

攻撃者と開発者のモグラ叩きゲームに巻き込まれるのは嫌なので、mod_cgiはoffにしようと思いました。

この辺りに詳しく詳細がのっています。