Мне кажется, что паника на счёт embedded действительно раздута зря — там редко bash и они обычно не торчат публичными сервисами в интернет.

Проблема, скорее, в непредсказуемом количестве софта, который устанавливает переменные окружения на основе внешних данных и делает popen() — начиная от интернет-серверов (tcp/80 на текущий момент не просканил только ленивый; а также привет qmail), заканчивая sip-проксями (https://github.com/zaf/sipshock) и пресловутым dhclient-script. И в шутках про то, что, залив shellshock-код вместо имени на банковскую карточку, можно попробовать завалить процессинг где-то на другом конце планеты, таки может оказаться доля правды

про dhcp это была конечно хорошая шутка, но у меня все dhcp-сервера мои. Либо надо его сломать, либо выставить в сетку свой dhcp-сервер

про карточку это вы зря - там винда стоит, точнее не так - ничего кроме винды я банкоматах не видел.

В общем резюмирую - проблема будет с серверами, настроенными 10 лет тому назад и забытыми под столом у главбуха. Ну так спасибо - будет кому-то дополнительный заработок, а кому-то - урок.