Het patchen van software gebeurd niet snel bij bedrijven. Gemiddeld genomen zijn bedrijven namelijk ongeveer dertig dagen te laat met het installeren de patches. Het exacte gemiddelde bedraagt 29,5 dag. Hackers misbruiken een lek al na tien dagen, waarmee bedrijven dus 19,5 dag kwetsbaar rondlopen, gemiddeld gezien.

Hackers zijn, zoals te verwachten, een stuk sneller in het misbruiken van de lekken, dan het bedrijf ze patcht. Door middel van reverse-engineering vindt de hacker het lek en de manier om het te misbruiken. De malware-tools die geschreven worden door de hackers staan in tachtig procent van de gevallen na tien dagen op het internet. Hiermee loopt het bedrijf dus een risico, aangezien deze veel minder snel patcht.

Per bedrijfstak verschilt het wel, hoelang het duurt voordat de patches geïnstalleerd zijn. Het snelst hierin is de serverbranche, die er 21 dagen voor nodig heeft. De financiële-sector is een goede tweede, met 23 dagen. De productie-sector is het traagst met 51 dagen. Er zijn geen noemenswaardige verbeteringen in deze cijfers, in 2003 kostte het een bedrijf nog dertig dagen, dit is nu dus een halve dag naar beneden.

De scans zijn uitgevoerd door Qualys, een beveiligingsbedrijf. Het bedrijf heeft in 2008 ongeveer tachtig miljoen scans uitgevoerd, waaruit blijkt dat er 680 miljoen ongedichte lekken zijn. Hiervan is elf procent volgens de beveiliger kritiek.