Microsoft nie przyznaje się do wielu błędów jakie mają miejsce w jej programach, a ponoć większość luk powstałych w zabezpieczeniach łata po kryjomu. Jednak podobno jest zupełnie inaczej, ponieważ jak tylko zespół Security Research&Defense znajdzie jakiś istotny błąd w zabezpieczeniach, to nie tylko zaraz go usuwa, ale jednocześnie przegląda każdy sąsiadujący kod i szuka w nim luk, jak również szuka podobnych usterek w innych miejscach. Czasami bywa więc tak, że jeżeli jakiś program jest podejrzany to jest sprawdzany za pomocą fuzzera.

W ten sposób znalezione wady są określane przez Microsoft jako warianty i są od razu eliminowane, a wnioski i obserwacje są podawane ocenie w ocenach w biuletynie. W ten sposób wykryte luki nie znajdują się w bazie Common Vulnerabilities and Exposures (CVE). Microsoft fakt, że nie wnioskuje o numery CVE w wypadku wariantów tłumaczy tym, że projekt CVE ma na celu tworzenie list publicznych znanych luk w zabezpieczeniach, a to nie obejmuje problemów jakie są związane z zabezpieczeniami znalezionymi wewnątrz firmy.