Reuters je že predlani pisal, da je NSA največji kupec informacij o nezakrpanih ranljivostih v programski opremi. Nekaj jih odkrijejo tudi sami, poleg tega pa uporabljajo tudi druge taktike neposrednega prisluškovanja, na primer neposredno z optičnih kablov ali vgrajevanje strojne ter nameščanje programske opreme za prestrezanje podatkov. Včasih tudi plačajo kakšnemu podjetju, da v svoje programe vgradi ranljivost, kot denimo RSA v šifrirni algoritem. Nekatere ranljivosti vredne veliko - Zerodium je za kompleten dostop do iOS, ki sodi v kategorijo nezakrpanih (zero-day), odštel milijon dolarjev. Računajo, da se jim bo ta investicija krepko povrnila, saj jo bodo prodali ameriškim korporacijam in državnim agencijam.
Poleg tega razkritje 91 odstotkov ranljivosti ne pove nič o tem, kdaj NSA to stori. Predvideva se, da NSA ranljivosti najprej izkoristi oziroma vsaj preveri, kako bi jim koristile, šele nato pa o njihovem obstoju obvesti proizvajalce. Ranljivosti je namreč mogoče uporabiti v ofenzivne ali defenzivne namene. Splošne smernice priporočajo predvsem rabo v obrambne namene, a na koncu se je treba odločiti od primera do primera, kjer ima pomembno vlogo Oddelek za domovinsko varnost (DHS). Tudi NSA zagotavlja, da večino ranljivosti uporabijo defenzivno, ne pa vseh.
