Într-un mesaj postat pe Hacker News, Alex Stamos, responsabilul cu securitatea (CISO) la Yahoo, afirmă că hackerii au încercat, într-adevăr, să pătrundă în serverele Yahoo prin intermediul Shellshock, dar după aceea au folosit altă breşă de securitate, mai mult sau mai puţin similară.

Potrivit oficialului, hackerii au "injectat comenzi într-un script de server". Trei servere au fost într-adevăr piratate, "dar nicio dată personală nu a fost compromisă", dă el asigurări.

Cercetătorul în domeniul securităţii care a dezvăluit atacul, Jonathan Hall, a declarat pentru CNET că nu crede în explicaţiile oferite de Stamos. În opinia sa, Yahoo "se joacă cu vorbele" şi a fost victima unei breşe Shellshock. "Atacul nu a fost efectuat potrivit sintaxei obişnuite. Pentru a dovedi că nu a fost Shellshock, ar trebui să publice log-urile", afirmă el.

Jonathan D. Hall, preşedintele Future South, a dezvăluit atacul într-un raport publicat pe site-ul firmei. El a postat totodată mesajele pe care le-a trimis Yahoo, Biroului local FBI din New Orleans şi unor oficiali de la WinZip, despre care afirmă că a fost compromis în acest atac, ca şi Lycos.