Less-than-zero-day-Lücken werden Sicherheitslücken genannt, die der breiten Öffentlichkeit, und oftmals auch dem Hersteller der entsprechenden Software, noch unbekannt sind. Nach Darstellung der GI werden von Dritten entdeckte Sicherheitslücken oftmals an Behörden verkauft, die diese für Überwachungsmaßnahmen nutzen.
Mit dem Aufspüren von Sicherheitslücken beschäftigen sich nicht nur kriminelle Gruppen, sondern auch Unternehmen und Einzelpersonen, die nicht unbedingt schädigende Absichten haben. Bleiben deren Entdeckungen jedoch unveröffentlicht, ist es den Verantwortlichen - im genannten Fall zum Beispiel der Bundesregierung - unmöglich, Maßnahmen zu ergreifen, mit denen sich diese Lücken schließen lassen.
Entdecken nun Kriminelle, Wirtschafts- oder sonstige Spione die selbe Lücke, können sie zielgerichtete Exploits schaffen, die von den gängigen Virenschutz-Systemen nicht erkannt werden und mangels massenhafter Verbreitung für längere Zeit unentdeckt bleiben.
Für die Weitergabe einer Sicherheitslücke werden bis zu 10.000 € im kommerziellen Bereich und für die Erstellung eines Exploits bis zu € 50.000 im kriminellen Bereich bezahlt. Einige Unternehmen verkaufen Informationen über unveröffentlichte Sicherheitslücken an ihre Kunden wie Unternehmen und einschlägige Behörden. In 2007 ist ein regelrechter Markt für Exploits entstanden bis hin zu (halb-) öffentlichen Versteigerungen.
Die GI fordert die einschlägigen Behörden auf, alle ihnen bekannten unveröffentlichten Sicherheitslücken in Software unverzüglich zu veröffentlichen, damit sich Unternehmen und Private rechtzeitig dagegen wehren können. Außerdem sollen sie die wichtigste Software auf bisher nicht veröffentlichte Sicherheitslücken untersuchen und die Ergebnisse ebenfalls veröffentlichen. Alle Bürgerinnen und Bürger – insbesondere Unternehmen - sollten deutlich vor den Risiken solcher Sicherheitslücken gewarnt werden.
