Nach Bekanntwerden einer Sicherheitslücke hat der Entdecker verschiedene Möglichkeiten damit umzugehen: Die Offenlegung (Disclosure) kann auf verschiedenste Art und Weise geschehen. So wählen ethische Hacker vor allem in Coordinated-Disclosures, bei dem das Ziel eine verantwortliche Offenlegung der Sicherheitslücke ist.
Der Entdecker informiert den Hersteller über seinen Fund und gibt zunächst keine oder nur wenige Informationen an die Öffentlichkeit. Meistens wird nur auf die Existenz und gegebenenfalls auf die Art einer Sicherheitslücke in einem Produkt hingewiesen. Ethische Hacker nutzen immer diese Art der Veröffentlichung.
Neben dem Coordinated-Disclosures gibt es noch die Möglichkeit eines Non-Disclosures, bei dem die Schwachstelle nicht veröffentlicht wird. Diese Offenlegungen finden zum Beispiel bei Geheimdiensten Anwendung. Ein Beispiel dieses Disclosures ist die Sicherheitslücke „Eternalblue“, die lange Zeit von der NSA genutzt wurde, ohne der Öffentlichkeit bekannt zu sein. Später wurde sie in Form eines Full-Disclosures von einer Hackergruppe, welche die NSA zuvor hackte, mit allen Details und Proof of Concept veröffentlicht und unter dem Namen WannaCry bekannt.