Die Regeln sind einfach: Gemeldete Sicherheitslücken dürfen zuvor noch nicht entdeckt worden sein, und müssen "kritisch" sein: Sie sollen die Ausführung von eingeschleustem Code auf einem komplett aktualisierten System ermöglichen, ohne Social Engineering-Techniken zu verwenden.
Wer eine solche Lücke in Vista oder dem Internet Explorer 7 findet, erhält 8.000 US-Dollar, und weitere 4000, wenn er zusammen mit einer Beschreibung der Lücke ein funktionierendes Exploit liefern kann. Bei Microsoft zeigt man sich, wie Konstantin Kornakov von Kaspersky berichtet, wenig begeistert von diesem Angebot.