En general, lo éticamente correcto cuando se encuentra una vulnerabilidad en un sistema, una vez analizado el impacto de la misma, es notificarla al fabricante o en caso de una página web, al contacto designado por la entidad propietaria. Un correo de contacto que debería ser válido es el proporcionado por la organización cuando efectúa el registro del dominio.