Het blijkt dat bij 58% van de software bij de eerste opleving de kwaliteit van de beveiliging in de programmatuur beneden de maat was. Commerciële software had in maar 29% van de gevallen een acceptabele kwaliteit. De intern ontwikkelde software scoorde met 49% het beste. De open sourcesoftware (41%) en de extern in opdracht ontwikkelde applicaties met 43% scoren ook redelijk.
Bij de open-source programma`s duurde het gemiddeld 36 dagen om de gebreken op te lossen. In 11% van de gevallen was een poging niet voldoende. De commerciële bedrijven hadden gemiddeld 82 dagen nodig om de geconstateerde gebreken te verhelpen. Bij de intern ontwikkelde software had men gemiddeld 48 dagen nodig om gebreken te verhelpen. De interne software bevat bij de eerste oplevering de minste lekken. De gevonden kwetsbaarheden komen vaak terug in de top-25 programmeerfouten, gepubliceerd door SANS Institute en Mitre.
