Al fine di prevenire rischi indebiti per i clienti, Oracle non fornisce ulteriori informazioni sulle specifiche delle vulnerabilità oltre a quelle fornite nel promemoria e nella nota pre-release degli aggiornamenti di patch critiche (o avvisi di sicurezza), nelle note di pre-installazione, nei file readme e nelle domande frequenti. Inoltre, Oracle fornisce a tutti i clienti le stesse informazioni per garantire a tutti lo stesso livello di protezione. Oracle non fornisce notifiche in anticipo ai singoli clienti. Infine, Oracle non sviluppa o distribuisce codici di exploit attivi (o codici di proof of concept) per le vulnerabilità nei suoi prodotti.