De beschrijving die Microsoft voor beveiligingslekken hanteert staat los van de werkelijkheid. Sinds november 2002 beschrijft de softwaregigant ernstige lekken als kwetsbaarheden die zonder interactie van de gebruiker door een worm zijn te misbruiken. Niet alleen zijn wormen zeer zeldzaam, ook voor lekken waar wel interactie vereist is gebruikt Microsoft de term 'Critical'. "Microsoft negeert dus haar eigen omschrijving," zegt IT-veteraan Larry Seltzer. "Ik denk dat critical voor de meeste vendors het uitvoeren van code betekent, maar niet voor Microsoft, althans, niet officieel."

Seltzer is van mening dat de beschrijving die de softwaregigant nu gebruikt, los staat van de werkelijkheid. Kwetsbaarheden die het als ernstig omschrijft, vallen eigenlijk in de "Important" categorie. Dat zijn lekken waarbij misbruik kan leiden tot het compromitteren van de vertrouwelijkheid, integriteit en beschikbaarheid van de gebruiker z'n gegevens of de integriteit en beschikbaarheid van middelen.

Zure Apple
In tegenstelling tot Microsoft geeft Apple helemaal geen beschrijving van de ernst van een lek, terwijl Seltzer de aanpak van Mozilla als te specifiek en simplistisch omschrijft. Het gebruik van cijfers om de ernst te bepalen is nodig, zodat security teams en gebruikers weten welke updates de meeste aandacht vereisen, het brengt ook problemen met zich mee. In het geval van het NVD/CVSS cijfersysteem krijgen de grootste problemen niet altijd het hoogste cijfer en kan een cijfer in het geval van meerdere platformen voor onduidelijkheid zorgen.

"Het beste zou zijn als gebruikers de details uitzoeken, maar dat gaat niet gebeuren. De enige vendor waar ik geen sympathie voor heb is Apple, aangezien die voor het hele probleem weglopen en niet eens informatie over hun eigen lekken verstrekken. Het probleem zal ons blijven lastigvallen en is tevens een voorbeeld van hoe complex security is en ook zal blijven."