Le fait de se taire sur les mises à jour de sécurité n'est pas sans conséquence. Les éditeurs et les chercheurs en sécurité ont utilisé des chiffres CVE pour évaluer la sécurité des différents systèmes d'exploitation et des applications. Lors de la conférence de presse, Microsoft a montré une diapositive comparant le nombre de mises à jour de sécurité réalisées pour UbuntuLTS, Red Hat Enterprise Linux 4, OS X 10.4 ainsi que pour Windows Vista et Windows XP. Dans une autre diapositive, elle a montré celles effectuées pour SQL Server 2000, SQL Server 2005, comparée à une base de données anonyme concurrente.

Mike Reavey admet que cette comptabilité des failles de vulnérabilité est imparfaite, mais soutient que, comme outil de comparaison de base, cela a tout de même un sens. « On peut mesurer la sécurité de plusieurs manières. L'estimation de la vulnérabilité par le comptage des bugs en est un, et il n'est pas parfait. » La comparaison du nombre de vulnérabilités par ligne de code de logiciel est un autre indicateur.

S'il fait valoir que ces décomptes sont des moyens utiles pour comparer les produits entre fournisseurs, il a aussi minimisé l'enjeu du calcul des vulnérabilités, le qualifiant de méthode «comptable» qui a, selon lui, essentiellement pour effet de détourner les chercheurs de leur fonction de corriger les bugs. « Quand une faille est signalée, l'entreprise préfèrerait travailler à optimiser un outil de recherche capable de traiter 200 bogues liés. Techniquement, le code peut contenir 200 vulnérabilités, mais «  en modifiant une ligne de code, vous perdez parfois la possibilité de corriger 200 problèmes potentiels par fuzzing. Est-ce que cela compte pour une ou pour 200 vulnérabilités ? Je ne sais pas vraiment. Mais si nous passons du temps à tenir une comptabilité exacte, c'est autant de temps en moins pour trouver la solution pour protéger nos clients, » a t-il déclaré.