Le vulnerabilità, in generale, esistono prima che vengano scoperte dai ricercatori, quindi il numero già esistente ma non ancora noto potrebbe essere molto alto. Per quanto riguarda le vulnerabilità note che costituirebbero Zero-Days in cui esiste un exploit, ma sono ancora detenute da poche persone o organizzazioni, non c'è davvero alcun modo di sapere perché troppe di queste organizzazioni sono molto segrete per ovvi motivi. È troppo difficile speculare su quanti sforzi siano stati fatti per trovare Zero-Days a livello globale molto meno di quanto siano state produttive quelle persone o organizzazioni.
Detto questo il seguente documento di Rand Corporation contiene molte informazioni molto pertinenti alla tua domanda.
Zero Days, migliaia di notti "The Life and Times of Zero -Day Vulnerabilities and Their Exploits
link
Qualcosa da tenere a mente anche se negli ultimi anni sono stati fatti molti progressi nella tecnologia di fuzzing che potrebbero rendere più facile la scoperta di nuovi giorni zero per gli aggressori.