Prawie 24 proc. wykrytych w ubiegłym roku podatności w aplikacjach komercyjnych to luki o stopniu istotności 8-10. Oznacza to, że mogą prowadzić do zdalnego wykonania kodu, co jest najbardziej niebezpiecznym rodzajem ataku. Około 36 proc. wszystkich podatności występuje w komercyjnych aplikacjach internetowych. Około 86 proc. aplikacji internetowych jest podatnych na atak typu „injection”, polegający na uzyskaniu przez cyberprzestępców dostępu za pośrednictwem serwisu do jego wewnętrznej bazy danych. W 2011 r. nadal popularne były zestawy narzędzi ułatwiających przeprowadzenie uderzenia z wykorzystaniem określonej luki (tzw. exploit toolkit), co wynika z dużej skuteczności tej metody.

Takie „zestawy do ataków”, sprzedawane w sieci, umożliwiają włamywaczom dostęp to systemów informatycznych przedsiębiorstw i kradzież poufnych danych. Na przykład zestaw Blackhole Exploit Kit, używany przez większość przestępców internetowych, uzyskał pod koniec listopada 2011 r. wskaźnik skutecznego infekowania wynoszący ponad 80 proc., co jest niezwykle wysoką wartością.