I tagli al budget sono in parte responsabili delle problematiche delle analisi CVE. Come osservato da Security Magazine, i finanziamenti del NIST sono stati ridotti del 12% quest'anno, il che ha reso più difficile per l'organizzazione arricchire le CVE. In pratica, il NVD è di fatto un consumatore a valle dei dati CVE; mentre il numero di CVE trovate e segnalate rimane stabile, la capacità del NIST di valutare e arricchire queste vulnerabilità è stata significativamente ridotta.

L'enorme numero di vulnerabilità segnalate rappresenta anche un problema per le attività di analisi; una ricerca di Flashpoint ha rilevato che il NIST ha segnalato 33.137 vulnerabilità nel 2023. In parte, l'aumento è legato a un miglioramento delle capacità di rilevamento. Via via che le aziende estendono le iniziative di sicurezza con tecnologie cloud e strumenti abilitati all'AI, sono più in grado di individuare le potenziali minacce. Di conseguenza, numeri più elevati non sono sempre indici di un rischio aumentato, ma indicano un numero crescente di potenziali percorsi di attacco.

Il NIST ha un piano per eliminare il backlog. Secondo USASpending.gov, il governo ha assegnato un contratto da 860.000 USD ad Analygence per l'analisi della cybersecurity e il supporto e-mail. L'inizio delle attività era previsto per il 3 giugno e il NIST spera di tornare in carreggiata entro settembre 2024. Sebbene il contratto sia destinato a terminare nel dicembre 2024, l'organizzazione ha un'opzione per estendere i servizi fino al luglio 2025.