Les récompenses proposées vont de 300 à 5 000 dollars en fonction de la vulnérabilité concernée et de son degré de criticité. Les failles concernées devront s'intéresser en particulier aux infrastructures clés de l'Internet et un jury d'expert sera chargé de vérifier les propositions de chacun.
Une fois ce travail accompli, les éditeurs des programmes concernés disposent de 180 jours pour implémenter un correctif venant combler la faille mise en lumière. Ce processus intervient alors en amont de toute publication. Le programme est ouvert à l'ensemble des personnes qui souhaitent y participer, sans aucune limite d'âge.