De top tien die Bleeping Computer samenstelde wordt aangevoerd door Android met 523 CVE's in 2016, gevolgd door Debian (319) en Ubuntu (278). Op de vierde plaats staat het eerste niet-OS en dat is Adobe's Flash Player met 266 gemelde kwetsbaarheden.

De top tien bevat verder uitsluitend besturingssystemen (hoewel 10 de Linux-kernel is) en tot vier keer toe software van Adobe (Acrobat, Acobat DC en Acrobat Reader). Android is volgens de CVE-telling de kwetsbaarste, nadat vorige jaar die twijfelachtige eer ging naar OS X en het jaar daarvoor naar Internet Explorer.

Verder staat qua bedrijven Oracle bovenaan als leverancier van de meeste kwetsbaarheden (793 CVE's) in software in producten als Solaris en MySQL. Oracle wordt gevolgd door Google (698), waar Android dus grotendeels verantwoordelijk is voor de bugs. Op de derde plaats staat Adobe met in totaal 548 kwetsbaarheden in software als diens PDF-lezer en Flash-plugin.