Het grote verschil komt volgens Ollman onder andere doordat lekken die al wel gemeld zijn bij leveranciers, maar die nog geanalyseerd worden of waarvoor nog geen patch beschikbaar is in de overzichten ontbreken. Daarnaast ontbreken de cijfers van lekken die door softwareproducenten zelf worden gevonden en in stilte worden gepatcht, fouten in niet-Engelstalige software die door analisten niet worden gevonden omdat ze de betreffende taal niet machtig zijn en de lekken die door criminelen worden doorverkocht.
Analisten van McAfee en Forrester vinden Ollmans inschatting geloofwaardig. Er is zoveel software geschreven, bijvoorbeeld door hobbyisten, die toch zakelijk gebruikt wordt. Die software is zelden goed getest. Ook nieuwe technieken als VoIP leveren veel fouten op, aldus een woorvoerder van McAfee in Automatisering Gids.