מדוע לספור את מספר הפגיעויות (Vulnerabilities) בנתיב ההתקפה ללא התייחסות להבדלים בינהם זה לא מדד טוב לסיכון.

לדוגמא, אם יש נתיב תקיפה שמצריך שימוש ב5 פגיעויות שונות (כלומר, הוא באורך 5) לעומת נתיב תקיפה שמצריך 6 פגיעויות אך כולן אותו דבר, רוב הסיכויים שהתוקף ישתמש בנתיב באורך 6, מפני שכבר יש לו את הידע והכלים כדי לעשות exploit לפגיעויות הנ"ל שכן כולן זהות. בנוסף, גם אם הנתיב שבאורך 5 הוא בעל פגיעויות קלות יחסות לעומת הפגיעות היחידה שיש בנתיב באורך 6, לתוקף יהיה יותר קל לנצל פגיעות בפעם השנייה או השלישית (או השישית בדוגמא זו) מאשר פגיעות אחרת בפעם הראשונה