Wykrywanie błędów w zabezpieczeniach jest fajne. Jeśli jesteś "dobrym" to informujesz twórcę, czekasz ileśtam na fix, a później publikujesz. Masz wówczas bonus od twórcy i samozadowolenie. Jeśli jesteś "złym" to nie informujesz nikogo i wykorzystujesz błąd dla swoich własnych celów (albo sprzedajesz 0-day albo coś takiego). Jeśli jesteś po prostu dupkiem publikujesz błąd od razu, bez informowania twórców ani czerpania zysków, najpewniej na swoim (mało) popularnym blogu z komentarzem w stylu "lol, jakie ciołki, jaki bug dali. Daje publicznie bo błąd oczywisty i żałosny".
Przykład "dupka": https://vexatioustendencies.com/wordpress-plugin-vulnerability-dump-part-2/