Het bedrijf Zerodium dat zeroday-exploits inkoopt heeft 2 miljoen dollar uitgeloofd voor een aanval waarmee een iPhone zonder interactie van de gebruiker op afstand kan worden overgenomen. Voor een aanval waarbij er een click van de gebruiker is vereist wordt 1,5 miljoen dollar betaald.

Een beveiligingslek in WhatsApp, iMessage of sms/mms waardoor een aanvaller willekeurige code op de onderliggende smartphone kan uitvoeren levert 1 miljoen dollar op. Voor alle drie de aanvallen besloot Zerodium de oorspronkelijke beloning met 500.000 dollar te verhogen. Het bedrijf koopt zeroday-exploits van onderzoekers en verkoopt die vervolgens door. Het gaat in dit geval om kwetsbaarheden die nog niet bij de ontwikkelaar van de software bekend zijn. Op de eigen website stelt Zerodium dat het voornamelijk aan overheidsinstanties levert.

Naast exploits voor Android en iOS besloot Zerodium ook de beloning voor zeroday-exploits in desktops en servers te verhogen. De hoogste beloning bedraagt nu 1 miljoen dollar voor een aanval waarbij Windows-systemen op afstand en zonder interactie van de gebruiker kunnen worden overgenomen, bijvoorbeeld via het Remote Desktopprotocol of het versturen van een SMB-pakket. De WannaCry-ransomware kon zich verspreiden via een kwetsbaarheid in Microsoft Windows SMB Server.

Burgerrechtenbewegingen zoals de EFF en Bits of Freedom en privacyonderzoekers hebben in het verleden vaak kritiek geuit op bedrijven als Zerodium. Het zou onduidelijk zijn waar de exploits terechtkomen en wie er gebruik van maken. Ook worden de softwareontwikkelaars in kwestie niet geïnformeerd, waardoor alle gebruikers van een bepaald platform risico lopen.

In 2016 kwam Apple nog met een update nadat een mensenrechtenactivist het doelwit van een zeroday-aanval was geworden. Er werd geprobeerd om de activist een link in een sms-bericht te laten openen. Deze link wees naar een website die misbruik van drie onbekende kwetsbaarheden maakte waardoor er spyware op de iPhone van de activist kon worden geplaatst.