Google ermuntert zur Lückensuche in sämtlichen Google-Diensten unter google.com, youtube.com, blogger.com und orkut.com. Dagegen sind Android, Picasa und Google Desktop bislang von diesem Programm ausgenommen. Außerdem bittet Google die Sicherheitsforscher darum, keine automatisierten Verfahren für reale Angriffe auf die Google-Dienste einzusetzen, um deren Betrieb nicht zu beeinträchtigen.
Eine detaillierte Liste der "Spielregeln" hat Google in seinem Security Blog veröffentlicht. Dort erfahren Interessierte auch, welche Art von Lücken belohnt werden, und wo gefundene Exploits gemeldet werden können.
Definitiv ausgenommen sind Blackhat-SEO-Techniken, Angriffe auf die Unternehmensstruktur, Social Engineering-Angriffe und DoS-Schwachstellen. Ausdrücklich im Fokus der Suche liegen dagegen Cross Site Scripting- und ähnliche Schwächen.