La pericolosità di un bug può dipendere da molte cose, ma uno degli elementi per la valutazione del rischio è la misura di quante persone sono a conoscenza di quel bug e se esistono o meno delle patch correttive disponibili. Nella classifica dei bug quelli zero-day, sono i più pericolosi, in quanto per zero-day si intende un bug che è al suo giorno zero, e quindi nessuno a parte lo scopritore della vulnerabilità sa come funziona e non è in circolazione alcuna patch correttiva.

Se prima i bug zero-day si trovavano su siti come Full Disclosure, Bugtraq o Milw0rm, ecco pronto un servizio russo che non solo cataloga i bug zero-day con precisione, ma che vende a modici prezzi i codici adatti allo sfruttamento di queste vulnerabilità. Qualche esempio? la pericolosa vulnerabilità Windows Metafile vulnerability (WMF vulnerability) è stata venduta per 4000 dollari, mentre il kit WebAttacker DIY costa dai 200 ai 300 dollari. Fra le piattaforme per cui sono disponibili exploit troviamo

Tutte le versioni di  PHP Fusion
- WHMCompleteSolution
- PHP Nuke
- PunBB
- Tiki Wiki

Piattaforme di vari forum

- BMForum
- Invision Power Board
- YaBB
- PunBB
- e170 Plugin Calendar
- vBulletin v3.6 + ICQ Mod
- vBulletin v3.6 + GVideo Mod
- vBulletin v3.6 + Youtube Mod
- vBulletin v3.6 + LJ Mod

E database per l’e-commerce
- Zen Cart

Al momento in cui scriviamo, l’exploit più costoso è un sql injection per PHP Fusion, dato a 300 euro. Si tratta nè più nè meno della commercializzazione dei bug che vanno ad aggiungersi ad una vasta gamma di siti russi che offrono a pagamento servizi illeciti.