یاهو  اعلام کرد که نقصی را که به جای نقص امنیتی Shellshock اشتباه گرفته شده بود ترمیم کرده است، ولی داده های هیچ کاربری تحت تأثیر آن قرار نگرفته است.
به گفته مدیر ارشد امنیت اطلاعات یاهو،   روی سه سرور این کمپانی با API هایی که جریان زنده را برای سرویس Sports فراهم می کنند، کد مخربی توسط مهاجمان اجرا می شده که به دنبال سرورهای آسیب پذیر در برابر Shellshock می گشتند.
وی در وب سایت اخبار هکری نوشته است که پس از افشای آسیب پذیری Shellshock، بر روی این سرورها اصلاحیه نصب شده است.
یاهو توسط مهندس ارشد و رئیس شرکت مشاوره امنیتی Future South Technologies، از این موضوع آگاه شده بود. این فرد در وبلاگ خود نوشته است که یک آسیب پذیری را در حداقل دو سرور یاهو کشف کرده است.
وی نوشت که شواهدی کشف کرده است که یک گروه که به نظر می رسد مهاجمان رومانیایی باشند به یاهو، Lycos و WinZip حمله کرده اند تا با استفاده از آسیب پذیری Shellshock، سرورها را آلوده کرده و یک بات نت تشکیل دهند.
Shellshock که نخستین بار ماه گذشته میلادی شناسایی شد، نام یک نقص امنیتی در نوعی نرم افزار است که با نام Bash شناخته می شود. Bash یک پردازشگر پوسته خط دستور در سیستم های یونیکس و لینوکس است. این حفره امنیتی می تواند به مهاجمان اجازه دهد کد را به کامپیوتری که Bash را اجرا می کند تزریق نمایند و کنترل سرور را از راه دور در اختیار بگیرند.
در نخستین اظهار نظرها تصور می شد که یاهو نیز گرفتار Shellshock شده است، اما مدیر ارشد امنیت اطلاعات این شرکت بعداً اظهار کرد که تحقیقات نشان داده است که این مسأله ربطی به Shellshock نداشته است.
وی نوشته است که مهاجمان از نقص امنیتی دیگری بهره برده اند که در یک اسکریپت مانیتورینگ قرار داشته و توسط توسعه دهندگان یاهو برای تجزیه و عیب یابی لاگ های وب اجرا شده است. وی تأکید کرد که این نقص امنیتی فقط به تعداد کمی از سیستم ها محدود است.
به گفته مدیر ارشد امنیت اطلاعات یاهو، او ایمیل هشداری نیز برای WinZip ارسال کرده و یافته های یاهو را به اطلاع آنها رسانده است.