CVE 计划由 MITRE Corporation 监管，由美国国土安全局下属的网络安全和基础设施安全局（CISA）提供资金。

CVE 条目非常简短。既没有技术数据，也不包含与风险、影响和修复有关的信息。这些详细信息会收录在其他数据库中，包括美国国家漏洞数据库（NVD）、CERT/CC 漏洞注释数据库以及由供应商和其他组织维护的各种列表。

在这些不同的系统中，CVE ID 为用户提供了一种可靠的方式来识别独特的漏洞并协调安全工具和解决方案的开发。MITRE Corporation 维护 CVE 列表，但成为 CVE 条目的安全漏洞通常由开源社区的组织和成员提交。

CVE 识别号由 CVE 编号管理机构（CNA）分配。全球目前约有 100 个 CNA，包括各大 IT 供应商（如红帽、IBM、思科、Oracle 和微软）以及安全公司和研究组织。MITRE 也可以直接发布 CVE。

MITRE 向每个 CNA 发放了一个 CVE 编号池，用于在发现新问题时将编号连接至新问题。每年，都有数以千计的 CVE ID 发放出来。单个复杂产品（如操作系统）可能会累积数百个 CVE。

任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是机敏的用户，都有可能发现缺陷，并促使他人予以关注。很多供应商都会提供错误报告奖励，以鼓励相关人员负责任地披露各种安全问题。如果您发现了开源软件存在漏洞，您应该将其提交至相关社区。

再通过种种渠道，该缺陷的相关信息最终会传至 CNA。CNA 进而会为这些信息分配 CVE ID，然后编写简短描述并附上参考资料。然后，新的 CVE 就会被发布到 CVE 网站上。

通常会在公开安全公告之前分配 CVE ID。供应商一般会对安全缺陷保密，直至相关修复已完成开发和测试。这样可以降低未修补漏洞被攻击的风险。

公布时，CVE 条目中会包含 CVE ID（格式为“CVE-2019-1234567”）、安全漏洞的简短描述和相关的参考资料（可能包括漏洞报告和公告的链接）。