Il y a de nombreuses façons de créer et de lire des variables d'environnement pour exploiter une vulnérabilité ou pour obtenir des informations susceptibles de compromettre la sécurité. Les variables d'environnement ne devraient jamais contenir d'information secrète comme des mots de passe.
En revanche, lorsqu'ils manipulent des variables d'environnement, les programmes devraient considérer les données qu'elles contiennent comme étant potentiellement malicieuses. Ils devraient donc effectuer un contrôle des limites de chaînes de caractères et une vérification du contenu des variables.
(Il s'agit d'un aspect qui concerne les systèmes auxquels se connectent de nombreux utilisateurs qui ne sont pas de confiance.)