Po wykryciu luki (przez twórcę oprogramowania lub inne osoby) producenci aplikacji zazwyczaj tworzą "łatę" lub "poprawkę" blokującą dziurę w zabezpieczeniach. W rezultacie producenci, eksperci do spraw bezpieczeństwa oraz twórcy wirusów biorą udział w niekończącym się wyścigu, kto pierwszy odnajdzie jakiś słaby punkt.
W ostatnich latach przedział czasu między odkryciem słabego punktu a stworzeniem szkodliwego kodu wykorzystującego dziurę w zabezpieczeniach zmniejsza się. Oczywiście najgorszy z możliwych scenariuszy to tak zwany "exploit zero-day" - szkodliwy kod publikowany przez hakerów w dniu wykrycia luki w oprogramowaniu, gdy nie ma jeszcze usuwającej ją łaty. Nie pozostawia on producentom czasu na stworzenie łaty, a administratorom IT na wdrożenie innych środków zabezpieczających.