È molto probabile che lo sviluppatore che implementa la parte vulnerabile del codice sia limitato a modificarlo mediante una licenza o dall'incapacità di farlo a causa della mancanza di conoscenze sufficienti per modificare il codice, nessun accesso ad esso o ad altre simili impedimenti. Detto questo, dovresti segnalare la vulnerabilità allo sviluppatore di terze parti che dovrebbe quindi adottare misure per mitigare il problema e inviare le modifiche a chiunque utilizzi il codice.
Si consiglia di segnalare il problema a tutti i programmi o applicazioni interessati, ma questo dipende da voi, dopotutto non ci sono regolamenti sulla divulgazione delle vulnerabilità e l'unica linea guida è il vostro ragionamento etico.
Per rispondere direttamente alla tua domanda, se lo sviluppatore del codice vulnerabile è responsabile della sua manutenzione (a seconda della licenza del software), molto probabilmente sarebbe l'unica parte che sarebbe disposta o idonea a pagarti una taglia. Tuttavia, è consigliabile divulgare la vulnerabilità a qualsiasi parte interessata e potrebbe anche essere disposto a ricompensarti in base alla gravità della vulnerabilità e alla sua capacità di mitigarlo.