La soluzione per esaurire lo spazio nello schema di numerazione CVE era di passare a un "nuovo formato" che consenta di inserire ulteriori cifre nell'ultima parte dell'ID CVE, se necessario. Una richiesta di input nella nuova selezione di formato è stata pubblicata a gennaio 2013, con un decisione annunciata nel luglio dello stesso anno e la politica è entrato in vigore all'inizio del 2014. Un numero di CVE è già stato pubblicato con il nuovo formato di numerazione. Questo era annunciato da MITER nel gennaio del 2015.
In realtà, il nuovo formato è lo stesso del vecchio formato. L'unica differenza è che le persone che scrivono strumenti che usano gli ID CVE ora devono accettare la possibilità di un numero arbitrariamente lungo (lunghezza minima di quattro cifre, usando gli zero iniziali per eseguire il pad secondo le necessità, nessuna lunghezza massima) alla fine invece di solo quattro cifre .
Se sei interessato a saperne di più sui CVE pubblicati nell'ambito del "nuovo" schema di numerazione, puoi scaricare una copia del database CVE e cercare tali voci da soli. Ho appena buttato la lista degli ID CVE in Excel, ho eseguito il comando Da testo a colonna con trattino come delimitatore, quindi ho cercato i valori nell'ultima colonna che erano maggiori di 9.999. Questo ha generato un totale di 92 identificativi CVE emessi sotto il "nuovo formato".
Il modo in cui ciò influirà sugli strumenti o sui siti Web che si basano sui dati CVE spetta interamente agli sviluppatori di tali applicazioni. Se una modifica è influenzata anche da una modifica (data la possibilità che gli sviluppatori non abbiano mai assunto una restrizione di quattro cifre sull'ultima parte dell'identificatore per iniziare), spetta quindi alle persone che sono riuscite a rilasciare una patch o no. Coprendo tutte le applicazioni che possono essere o meno influenzate e il loro stato o piano di patch per le patch, va ben oltre lo scopo di questo sito.