Definite le vulnerabilità aperte, si procederà alla loro classificazione in base al rischio che esse comportano, utilizzando come prametri: la facilità di sfruttamento e la quantità di dati a cui, un malintenzionato, potrebbe accedere se la utilizzasse. In questo modo sarà possibile porre il focus sulle falle più gravi e urgenti