Una vulnerabilità zero-day esiste in una versione di un sistema operativo, app o di un dispositivo dal momento in cui viene rilasciata, ma il fornitore di software o il produttore di hardware non lo sa. La vulnerabilità può rimanere inosservata per giorni, mesi o anni, finché qualcuno non la scopre.
Nel migliore dei casi, i ricercatori di sicurezza o gli sviluppatori di software trovano la falla prima degli attori delle minacce. A volte, tuttavia, gli hacker raggiungono la vulnerabilità per primi.
Indipendentemente da chi scopre la falla, spesso questa diventa di dominio pubblico immediatamente dopo. I venditori e i professionisti della sicurezza di solito informano i clienti in modo che possano prendere precauzioni. Gli hacker possono far circolare la minaccia tra loro e i ricercatori possono venirne a conoscenza osservando le attività dei criminali informatici. Alcuni fornitori possono tenere segreta una vulnerabilità fino a quando non hanno sviluppato un aggiornamento del software o altre correzioni, ma questo può essere un azzardo: se gli hacker scoprono la falla prima che i venditori la correggano, le organizzazioni possono essere colte di sorpresa.
La conoscenza di una nuova falla zero-day dà il via a una gara tra i professionisti della sicurezza che lavorano su una correzione e gli hacker che sviluppano un exploit zero-day che sfrutta la vulnerabilità per penetrare in un sistema. Dopo che gli hacker sviluppano un exploit zero-day funzionante, lo utilizzano per lanciare un attacco informatico.
Gli hacker sono spesso in grado di sviluppare exploit più rapidamente di quanto i team di sicurezza riescano a fare con le patch. Secondo una stima (link esterno a ibm.com), l'exploit è generalmente disponibile entro 14 giorni dalla divulgazione di una vulnerabilità. Tuttavia, una volta iniziato l'attacco zero-day, le patch seguono spesso in pochi giorni. Questo perché i venditori possono utilizzare le informazioni provenienti dagli attacchi per individuare la falla da correggere. Quindi, anche se le vulnerabilità zero-day possono essere pericolose, in genere gli hacker non possono sfruttarle a lungo.