Каждая из трех метрик может принимать значения "отсутствует", "среднее", "высокое" в зависимости от того, насколько сильно в случае успешного использования уязвимости пострадает конфиденциальность, доступность и целостность атакуемого объекта.

Зрелость эксплойта (Exploit Code Maturity (E)) - метрика отражает вероятность атаки с использованием уязвимости на основании наличия и возможности использования эксплойтов. Если эксплойт является общедоступным, то число потенциальных атак резко возрастает. В некоторых случаях эксплойт может послужить основой для создания вирусов и сетевых червей.

Уровень исправления (Remediation Level (RL)) - метрика отражает наличие временного или официального исправления для уязвимости. В случае наличия официального исправления метрика принимает минимальное значение, в случае отсутствия каких-либо исправлений - максимальное.

Степень достоверности отчета (Report Confidence (RC)) - метрика отражает степень конфиденциальности информации о существовании уязвимости и достоверность известных технических деталей. Риск выше, если о существовании уязвимости достоверно известно. Эта метрика отражает необходимый уровень подготовки потенциальных злоумышленников. Чем подробнее информация об уязвимости, предоставленная производителем или другим источником, тем выше оценка.