Nulladik napi sérülékenységnek azt a programhibát nevezzük, amelyet akkor fedeznek fel vagy jobb esetben hoznak nyilvánosságra, amikor a gyártó még nem is tud a hibáról, vagy ha tud, még nem sikerült ezt a hibát javítani. Ez azt jelenti, hogy a támadóknak van idejük gond nélkül kihasználni ezeket a szoftveres problémákat, hiszen a felhasználóknak kevés esélyük van védekezni ellenük. Az egyetlen lehetőség a védekezésre ha lemondanak az adott hibát tartalmazó szoftver használatáról, amíg a javítást nem adja ki a gyártó.
A nulladik napi sérülékenységekkel kapcsolatos információk iránt magas a kereslet a feketepiacon, sok vállalat – közöttük vélhetően a hazai kémszoftver botrányban elhíresült Pegasus gyártója, az NSO is – ezekkel kereskedik. Nagyon sok ehhez hasonló kémprogram nem is egy állandó szoftver, hanem szolgáltatás. A vállalatok ezekhez a kémszolgáltatásokhoz gyűjtik a nulladik napi fenyegetettségeket, ezért nekik sok pénzt, akár dollármilliókat is megér egy ehhez hasonló hiba leírása. A Pegasus kémszoftver készítője, az NSO például 650 ezer dollárt kér tíz iPhone vagy tíz Androidos telefon lehallgatásáért, öt Blackberry felhasználó már félmillió dollárba kerül.