A maioria das vulnerabilidades de software atualmente exploradas está ausente do Banco de Dados Nacional de Vulnerabilidades dos EUA (NVD). No relatório publicado em 23 de maio, os pesquisadores mostraram que 30 das 59 vulnerabilidades conhecidas exploradas (KEVs) registradas desde 12 de fevereiro ainda não foram analisadas pela equipe do NVD. No total, 50,8% das KEVs estão sem metadados críticos.

As vulnerabilidades de software são adicionadas à lista KEV pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) quando seus analistas confirmam que foram exploradas em campo. A CISA prioriza essas vulnerabilidades e recomenda que as organizações as abordem imediatamente. A inclusão na lista KEV geralmente vem com um prazo para remediação.

Outras descobertas do relatório mostram que 55,9% das vulnerabilidades armadas e 82% das vulnerabilidades com um exploit de prova de conceito não foram analisadas pelo NVD desde 12 de fevereiro. Esses problemas, que não foram claramente abordados pelo NIST ou pela equipe do NVD, significam que, embora vulnerabilidades e exposições comuns (CVEs) continuem a ser adicionadas ao NVD, muitas delas estão sem metadados críticos para correção, como números de enumeração de plataforma comum (CPE), nomes de produtos de software impactados e a pontuação de criticidade da vulnerabilidade (CVSS).