In der Regel erhält der Auftraggeber nach Abschluss des Penetrationstests einen schriftlichen Bericht. Dieser sollte neben der zu erwartenden Auflistung identifiziert, Schwachstellen bzw. Angriffsvektoren auch eine präzise Beschreibung des Prüfgegenstandes (Netzwerkbereich, Hard-/Softwareversion) und Details zu Art und Umfang der Durchgeführten Prüfung enthalten, um einem nicht direkt am Test Beteiligten, eine groben Eindruck der Testtiefe zu vermitteln. In keinem Fall sollte man die lediglich mit individuellen Firmenlogos verzierte Ausgabe eines automatischen Vulnerability Scanners als einziges Ergebnis akzeptieren, sofern dieses nicht explizit so beauftragt war.

Ein qualitativ hochwertiger Bericht ist außerdem so aufgebaut, dass er alle für den Auftraggeber relevante Zielgruppen berücksichtigt und beispielsweise eine für nicht Techniker verständliche Zusammenfassung mit einer Übersicht über die wesentlichen Ergebnisse und Empfehlungen den technisch detaillierten Beschreibungen des Testablaufs voranstellt. Der Bericht sollte also klar gegliedert, verständliche und nachvollziehbar sein und dem Auftraggeber Hinweise zu erforderlichen Maßnahmen und deren Dringlichkeit geben.
Ergänzend zum Bericht ist es üblich mindestens ein kurzes Abschlussgespräch zur Klärung offener Fragen durchzuführen. Darüber hinaus kann es bei komplexeren Themen sinnvoll sein einen Präsentationstermin mit dem Management oder Workshops mit Administratoren und oder Entwicklern zu organisieren.