Fortinet wurde bei der Veröffentlichung dieser Sicherheitslücke überrascht und war damit nicht zufrieden. „Wir erwarten, dass Rapid7 eine Veröffentlichung vor Ablauf unserer 90-tägigen Frist für die verantwortliche Offenlegung vermeidet.“ Die 90-Tage-Frist ist in der unternehmenseigenen Sicherheitsschwachstellenrichtlinie klar festgelegt.
Die Meinungsverschiedenheiten zwischen den beiden Unternehmen könnten darauf zurückzuführen sein, dass keiner von ihnen ihre jeweiligen Veröffentlichungsrichtlinien richtig einschätzte, teilte Rapid7 mit. Fortinet soll darüber bereits am 10. Juni informiert worden sein.
Die eigene Offenlegungsrichtlinie von Rapid7 sieht vor, dass Schwachstellen bereits 60 Tage nach Kontaktaufnahme mit dem Hersteller veröffentlicht werden können. Im Fall von Fortinet taten sie dies, nachdem sie 66 Tage lang nichts gehört hatten.