sur une debian stable à jour j'ai ça, donc ça va:
Found non-exploitable CVE-2014-6277 (lcamtuf bug #1))
Found non-exploitable CVE-2014-6278 (lcamtuf bug #2))

j'aime bien la fin:
"""
… however, I hope you were not stupid enough to follow the advice of this site (https://shellshocker.net/) which suggests you to download some random file over the ’net and execute it with superuser permissions, unchecked. (I think the Ruby people were the first to spread this extremely insecure, stupid and reprehensible technique.)
"""

yep, un exploit Shellshock est possible via SMTP.
PoC: http://www.exploit-db.com/exploits/34896/

maintenant par rapport à l'exploit que t'as posté (http://190.94.251.41/legend.txt):

• ça cherche à récupérer les droits root
• pour cela ça utilise un canal IRC pour interroger une base de connaissance pour récup le bon exploit suivant la version du kernel.
• via nmap, c'est capable de scanner des plages de port pour voir ce qu'il est possible de DDOSer sur un autre serveur
• au final, c'est pour transformer un serveur en un membre d'un botnet destiné à faire des attaques DDOS.