För att identifiera en nolldagarssårbarhet injicerar hackare stora mängder data med olika intervall innan de kontrollerar svaret från programmet de riktar sig till. Även om den här processen för det mesta leder till programkrascher, kan oväntat beteende inträffa, dvs exekvering av skadlig kod. Detta kallas då “mining”. Att använda tidigare sårbarheter för att försöka anpassa sig till andra program eller situationer är också en vanlig metod bland angripare. Då kan det hända att en hacker, som inte har glömt affärssidan av sin aktivitet, säljer vidare sin information på Dark Web, där sårbarheter kan säljas till en premie.
