Het duurt gemiddeld 7,5 dag na de aankondiging van een beveiligingslek voordat er een exploit verschijnt die van de kwetsbaarheid misbruik maakt, zo hebben onderzoekers becijferd. Daarbij is er weinig verschil of het om een lek in opensource of gesloten software gaat. Volgens de onderzoekers (PDF) toont dit aan dat systeembeheerders weinig tijd hebben om updates te testen en uit te rollen, als er al patches beschikbaar zijn.

De meeste kwetsbaarheden die in het onderzoek werden geanalyseerd en waarvoor exploits verschenen bevinden zich in Oracle Java, Adobe Flash Player en Microsoft Internet Explorer. Lekken in gesloten software worden sneller aangevallen dan lekken in opensourcesoftware, maar het verschil is niet erg groot. Wel verschijnen er veel meer exploits voor gesloten software.

Er werd ook gekeken naar de snelheid waarmee verschillende populaire softwareprogramma's worden aangevallen. Dan blijkt dat exploits voor Microsoft Office gemiddeld pas na 35 dagen worden ontdekt of verschijnen, terwijl lekken in Apple-software binnen een dag worden aangevallen. Het aantal waargenomen exploits zou in dit geval zeer beperkt zijn.

Kritiek

Er is echter ook kritiek op het onderzoek. Zo wordt er geen rekening gehouden met de kans dat een exploit ook daadwerkelijk voor aanvallen wordt gebruikt. Ook kijkt het onderzoek niet naar de impact van een exploit. Een aanval waarbij een aanvaller willekeurige code kan uitvoeren heeft bijvoorbeeld een grotere impact dan een kwetsbaarheid waardoor een aanvaller, die eerst toegang tot het systeem moet zien te krijgen, zijn rechten op dat systeem kan verhogen. Het grootste kritiekpunt is dat de publicatie van een exploit op blogs en mailinglists nog niet gelijkstaat aan een uitgewerkte en "geladen" exploit. Volgens de critici moet het rapport dan ook alleen als "anekdotisch bewijs" worden gezien.