Sommige ontwikkelaars, zoals Oracle, zijn erg karig als het aankomt op het verstrekken van informatie over lekken. Dit zou het namelijk voor een aanvaller makkelijker maken om een lek te misbruiken. Op dit moment zijn patches echter net zo onthullend als een advisory, aldus David Aitel van Immunity. Iets wat door reverse engineer Halvar Flake bevestigd wordt. Toen Microsoft zeer beperkte informatie verstrekte over een kritiek lek in Internet Explorer besloot hij dieper te graven. Het bedrijf van Flake heeft een tool ontwikkeld waarmee het verschil tussen gepatchte en ongepatchte versies binnen minuten gevonden kan worden. Het kostte Flake uiteindelijk minder dan 20 minuten om het portable networked graphics (PNG) lek te ontdekken, dat Microsoft onlangs patchte.

Ook in een Microsoft patch voor Secure Sockets Layer (SSL) wist men binnen 30 minuten een lek te vinden. Een betrouwbare exploit was tien uur later een feit. Voor software ontwikkelaars zijn de recente ontwikkelingen in reverse engineering dan ook een groot probleem. Aanvallers kunnen een patch nu zo snel voor een exploit gebruiken dat veel gebruikers niet eens de kans hebben gehad om de update te installeren.

Ontwikkelaars zitten dan ook tussen twee vuren. Het is verkeerd als ze het niet doen, maar ook als ze het wel doen kan het kwalijke gevolgen hebben. Oracle verstrekt patches dan ook alleen aan haar klanten. Flake is echter van mening dat binary analyse tools er niet toe leiden dat bedrijven via patches meteen hun lekken blootgeven.