Az első lépésben az információkat összegyűjtjük, amelyek segítenek azonosítani a rendszer vagy alkalmazás lehetséges sérülékenységeit. Ide tartozik az alkalmazás verziója, használt technológiák, függőségek és egyéb releváns információk.

Ebben a lépésben különböző eszközök és alkalmazások segítségével szkenneljük át a kódokat és rendszereket az ismert sérülékenységek után. Az automatikus eszközök mellett manuális ellenőrzések is fontosak lehetnek.

Az előző lépés során azonosított eredményeket elemezzük, és meghatározzuk, melyek valóban sérülékenységek. Fontos megállapítani a sérülékenységek súlyosságát és azt, hogy milyen körülmények között lehetne kihasználni őket.

A talált sérülékenységeket rangsoroljuk az alapján, hogy mennyire veszélyesek és milyen gyorsan kell javítani őket. Ez segít a csapatnak meghatározni, melyik problémát kell először megoldani.

Ebben a lépésben a fejlesztőcsapat vagy a rendszergazdák elkezdik a sérülékenységek javítását. A javítás után újraellenőrizzük a rendszert, hogy megbizonyosodjunk arról, hogy a sérülékenységek valóban megszűntek-e.