Der Bericht beinhaltet in der Regel eine Reihe von Schwachstellen bzw. potentiellen Angriffsvektoren die gemäß ihres technischen(!) Risikos gewichtet sind. Neben formalen Bewertungsschemata wie CVSS ( https://www.first.org/cvss/v4.0/specification-document) oder OWASP Risk Ratings ( https://owasp.org/www-community/OWASP_Risk_Rating_Methodology) ist eine vier bis fünfstufige Bewertung (Kritisch/Hoch, Mittel, Niedrig, Informativ) üblich. Da den Tester in den meisten Fällen der notwendige Einblick in interne Prozese und Finanzdaten des Auftraggebers fehlt kann das wirtschaftliche Risiko in der Regel nur durch die Auftraggeber selbst bzw. in Zusammenarbeit mit dem Dienstleister erfolgen. Schwachstellen und empfohlenen Gegenmaßnahmen nur anhand der Bewertung des Berichtes umzusetzen führt unter Umständen zu einer falschen Priorisierung.

Wurden im Verlauf der Tests Schwachstellen in von Dritten entwickelten Produkten und Lösungen identifiziert sollte ein "Responsible/Coordinated Disclosure Process" angestoßen werden. Die Schwachstelle wird vom Auftraggeber (oder durch die Tester) an den Hersteller/Lieferanten gemeldet und Fristen für eine erste Reaktion (z.b. 5 Arbeitstage) und die Bereitstellung einer korrigiertern Version oder entsprechender Gegenmaßnahmen (z.B. 90 Tage) gesetzt. Mit Bereitstellung der gesicherten Version oder nach Ablauf der Fristen werden die Informationen zu Schwachstellen veröffentlicht, um anderen Nutzern der gleichen Produkte und Lösungen die Chance zu geben auf das Problem zu reagieren, bevor ein Schaden entsteht.