De lijst wordt ieder jaar samengesteld door de Amerikaanse federale politie FBI in samenwerking met het SysAdmin, Audit, Networking and Security (SANS) Institute. Diverse prominente it-beveiligers doen bovendien mee met het onderzoek.

Doel van de lijst is om systeembeheerders – met name van overheidsinstellingen – op de hoogte te brengen van de veiligheidslekken die er momenteel zijn. Zij worden opgeroepen hun systemen te controleren en – zo nodig – dicht te metselen, zodat kwaadwillenden zich geen toegang kunnen verschaffen.

Bij de Windows-lekken is vooral IIS (Internet Information Services) kwetsbaar, zo blijkt uit de top 20. In deze webserver-software van Microsoft zitten diverse kwetsbaarheden. Verder worden onder meer SQL Server en Internet Explorer genoemd.

Ook Unix heeft zijn kwetsbaarheden. Zo is het open source-alternatief voor IIS – Apache Webserver – niet vrij van smetten, zoals overigens onlangs ook bleek met de opkomst van de Slapper-worm. Andere gaten binnen Unix zouden in onder meer SSH en FTP zitten.