Generalmente è una utile regola pratica che più parti mobili sono presenti nel tuo sistema, maggiore è il rischio che qualcosa si muova in modi imprevisti e più alto è il rischio di eventi imprevisti, maggiore è il potenziale di sfruttamento.
Esiste un ovvio e ben compreso rischio di esposizione derivante dall'installazione di servizi di rete, ma anche la presenza di pacchetti software non collegati in rete in un sistema può presentare problemi di sicurezza. Ad esempio, l'accesso al video della console su sistemi Linux utilizzato ha bisogno di privilegi di alto livello. Per questo motivo, alcuni dei primi videogiochi progettati per o portati su sistemi GNU / Linux includono eseguibili suid-root in modo che gli utenti ordinari possano essere in grado di giocare a questi giochi. Si potrebbe sperare che i programmatori abbiano fatto un buon lavoro e che i giochi gestiscano la loro grande potenza in modo responsabile; tuttavia, un analista della sicurezza sapendo che la speranza non è una strategia potrebbe essere in grado di trovare vulnerabilità sfruttabili in tali giochi. Questo potrebbe essere ancora più semplice di trovare vulnerabilità in pacchetti software più moderni, perché molti di questi giochi sono stati scritti anni fa, prima che venissero scoperte alcune moderne tecniche di sfruttamento e protezione contro di esse, e potrebbero non essere più mantenute attivamente.
In un'altra nota, i sistemi software sono spesso progettati in modo estensibile ed è comune che i pacchetti software installati si colleghino a tali meccanismi di estensione. Ad esempio, considera una workstation su cui è installato un browser web. Cosa ci si potrebbe aspettare che accada se si installa un pacchetto per elaborare una sorta di formato di file esotico? Molto probabilmente, il pacchetto dirà al browser che sa come gestire questo esatto formato di file, e il browser può quindi essere incline a consegnare i file in tale formato quando li incontrano, piuttosto che trattarli come meri flussi ottali opachi come farebbe se il pacchetto non fosse installato. Se, ora, il pacchetto esotico presenta delle vulnerabilità, questa convenienza potrebbe esporre queste vulnerabilità all'ampio web e aumentare il rischio di sfruttamento dell'intero sistema.