La faille est le défaut exploité par l’attaquant pour atteindre son objectif. Il peut s’agir d’une faille de conception (dans un logiciel qui ne validerait pas suffisamment les données fournies par les utilisateurs, par exemple — voir Buffer Overflow) ou une faille de logique dans un processus (qui permettrait alors de contourner l’authentification). Une fois exploitée, la faille permet à l’attaquant de « porter atteinte au fonctionnement normal [d’un système informatique], à la confidentialité ou à l’intégrité des données qu’il contient » (ANSSI). Il n’est pas rare qu’une attaque doive enchaîner l’exploitation de plusieurs failles avant d’atteindre son objectif (voir Élévation de privilèges). Les vulnérabilités peuvent être intentionnelles (on parle alors de portes dérobées, voir « Backdoor »), ou accidentelles, issues d’une méconnaissance des développeurs des bonnes pratiques de sécurité ou liées à la complexité sans cesse grandissantes des développements modernes, qui exigent de plus en plus souvent d’adopter de nouvelles méthodes de conception et de développement afin de limiter le risque d’ajout de vulnérabilités.
« Il n’y a pas de faille qui m’aille », dit le RSSI publivore.