Począwszy od około 2000 roku, niektórzy badacze byli bardziej skłonni do współpracy z dostawcami i ujawniania pełnego dostawcy, co oznaczało, że badacz w pełni ujawniał dostawcy lukę w zabezpieczeniach i nie ujawniał jej żadnym innym stronom. Było to częściowo spowodowane rosnącą otwartością dostawców na akceptowanie opinii publicznej bez uciekania się do działań prawnych. Jednak koncepcja bezpieczeństwa komputerowego zaczęła coraz bardziej przenikać przestrzeń dostawców, co oznaczało, że więcej firm zaczęło przyjmować formalne kanały ujawniania informacji. Większość tych ujawnień wymagałaby nieujawniania informacji opinii publicznej ze strony badacza lub badacz zdecydowałby się nie ujawniać publicznie szczegółów ze względu na etos białego kapelusza. Jednakże brak formalnych środków umożliwiających obsługę takich zgłoszeń i brak zewnętrznego źródła odpowiedzialności często wiązały się z nieograniczonym okresem czasu na załatanie luki. Pogląd, że dostawcy nie mają motywacji do łatania luk, prowadził do pozbawienia badaczy praw, co czasami skłaniało hakerów do preferowania pełnego ujawnienia informacji. Z drugiej strony dostawcy oprogramowania nie tylko musieli opracować nowe procesy mające na celu usunięcie tych luk, ale także zmagali się z zarządzaniem dystrybucją aktualizacji do swoich klientów. Zbyt wiele zmian w krótkim czasie mogłoby podważyć zaufanie konsumentów do produktu. Nieujawnianie szczegółów na temat tego, co zostało naprawione, może skłonić konsumentów do niezastosowania łatki. Niektórzy konsumenci mieli duże i skomplikowane środowiska, w których instalowanie poprawek stwarzało problemy logistyczne. Ile czasu zajęłoby komuś odtworzenie łatki i utworzenie nowego exploita i czy byłoby to mniej więcej tyle, ile zajęłoby wszystkim konsumentom zapewnienie sobie ochrony?