nein, der Schadcode muss eben NICHT auf dem Rechner liegen, auf dem Rechner muss nur eine Bash sein, die anfällig ist. Und viele Unix/Linux Web-Server (oder alle?) haben nunmal eine Bash installiert, weil das für PHP oder für andere Sachen notwendig ist.
Und das waren viele Jahre lang alle möglichen Versionen der Unix/Linux Bash (CVE-2014-6271).
Gerade Shellshock ist nicht wirklich trivial und ohne tiefergehende Kenntnisse nicht wirklich zu verstehen.
Für uns als Laien (und das sage ich als ausgebildeter ITler mit 18 Jahren Berufserfarung) schwer verständlich. Fakt ist, das sich damit ein System wirklich absolut kompromittieren lässt. Wenn du hier ein schönes Erklär-Video erwartest bist du einfach falsch unterwegs.