Kết quả cho thấy vấn đề lớn nhất về lỗ hổng bảo mật nằm ở một nhóm các plug-in phổ biến dành cho video như Adobe Flash, Apple Quicktime, Shockwave và Windows Media Player, cộng thêm một số tiện ích như PDF Reader và các ngôn ngữ lập trình như Java.
Plug-in Java dễ bị tấn công nhất vì có khoảng 80% trình duyệt đã cài Java, khoảng 40% trong số đó là phiên bản phần mềm quá cũ nên dễ gây ra lỗ hổng bảo mật. Tiếp theo, khoảng 80% các trình duyệt cài đặt trình Adobe Reader, trong đó có hơn 30% đã bị lỗ hổng bảo mật.
Plug-in thường được nhắc đến với nỗi lo lắng, Flash video, chỉ bị lỗ hổng bảo mật trên 20% các trình duyệt, mặc dù plug-in này được cài trên 95% các trình duyệt. Những plug-in xem video khác như Shockwave và Quicktime có mức lỗ hổng bảo mật khoảng từ 20 đến 25%, nhưng chỉ khoảng 40% các trình duyệt web đã cài các plug-in này.
Theo nhận định của Qualys, khoảng 80% lỗ hổng bảo mật liên quan đến trình duyệt nằm ở plug-in, và chỉ 20% lỗ hổng nằm trong chính trình duyệt, bất kể đó là trình duyệt nào.
Đa số lỗ hổng bảo mật trên trình duyệt bắt nguồn từ các plug-in và nhiều người dùng cảm thấy khó khăn trong việc vá lỗi kịp thời cho chúng. Một thách thức đặt ra là các plug-in đều có cơ chế cập nhật riêng, do đó vấn đề gây khó khăn nhiều hơn.
Theo chuyên gia bảo mật, có lẽ nên chấp nhận phương pháp của Google Chrome và xây dựng một số plug-in cập nhật tích hợp trong hệ thống cập nhật riêng của trình duyệt. Cách tiếp cận này sẽ giúp các trình duyệt có được bản vá lỗi. Xét về mặt lâu dài, hệ điều hành di động đang nổi như Android và iOS sẽ có thể đáp ứng tốt hơn bởi vì các hệ điều hành có sử dụng mô hình tích hợp các bản vá.