• Configuraciones de usuario o vendedor de software, que viene a menudo de forma predeterminada.
• Aplicación: los errores de codificación que resultan en desbordamientos de búfer, inyecciones SQL, XSS, entre otros.
• Diseño: las cuales son inherentes en el protocolo o en la arquitectura de aplicaciones.

Las vulnerabilidades existen en:

• Host: sistemas operativos y servicios.
• Dispositivos: routers, switches, balanceadores de carga, firewalls, appliance de red, entre otros.
• Aplicaciones: clientes/servidor, web, aplicaciones, bases de datos, entre otros.
• Humanos: administradores de redes, desarrolladores, empleado, etcétera.