È molto chiaro che i governi (non solo gli Stati Uniti) fanno effettivamente uso di vulnerabilità note. Dubito che, almeno la maggior parte, dei CVE siano intenzionalmente ritardati a parte il ritardo che viene generalmente offerto al venditore per consentire loro di risolvere il problema prima del rilascio pubblico. I CVE sono riportati da un'ampia varietà di fonti e non sarebbero facilmente intercettati dai governi.
Tuttavia, vi è un problema piuttosto grande in quanto vi sono terze parti che offrono bonus di vulnerabilità di $ m per exploit dimostrabili. Questi sono molto più grandi dei bontà di bug offerti in genere dai venditori. Le vulnerabilità sono spesso vendute ai governi e non rilasciate pubblicamente.