Het Amerikaanse National Institute of Standards and Technology (NIST), een organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, loopt ver achter met het verwerken van kwetsbaarheden in de National Vulnerability Database (NVD). De NVD-database bevat informatie over bekende kwetsbaarheden in soft- en hardware en wordt door het NIST als een essentieel onderdeel van de Amerikaanse cybersecurity-infrastructuur beschouwd.

Het NIST heeft echter te maken met een 'groeiende backlog' van kwetsbaarheden die moeten worden onderzocht. De NVD-database bevat allerlei informatie over kwetsbaarheden, alsmede hun impact. Kwetsbaarheden in de database worden geïdentificeerd aan de hand van een Common Vulnerabilities and Exposures (CVE) nummer. Tussen 15 februari en 9 april werden er 5800 CVE-nummers aan de database toegevoegd, maar meer dan tweeduizend van deze kwetsbaarheden moeten nog worden geanalyseerd.

Volgens het NIST zijn er verschillende redenen voor de achterstand, waaronder een toename van het gebruik van software, en daardoor ook het aantal kwetsbaarheden, alsmede onderlinge samenwerking. Ook is het budget van het NIST aangepast. Er is dan ook besloten om vooralsnog alleen de meeste kritieke kwetsbaarheden prioriteit te geven. Daarnaast is er meer NIST-personeel vrijgemaakt en wordt er gekeken naar hulp van partners.

Cisco stelt dat de achterstand een probleem is. Als dé bron van informatie over CVE-kwetsbaarheden, is de database essentieel voor systeembeheerders, beveiligingsonderzoekers en gebruikers, zegt Jonathan Munshaw van Cisco. "Beveiligingsexperts waarschuwen dat het probleem snel moet worden opgelost, of anders een alternatief moet worden gezocht." Het is echter de vraag of mogelijke alternatieven beter zijn en wanneer die beschikbaar komen, aldus Munshaw.