Luka jest wadą w zabezpieczeniach aplikacji lub systemu operacyjnego, która umożliwia hakerom lub twórcom wirusów uzyskanie nieautoryzowanego dostępu do zdalnych komputerów oraz korzystanie z nich. Do wykorzystania luki haker musi stworzyć szkodliwy program.

Po wykryciu luki (przez twórcę oprogramowania lub inne osoby) producenci aplikacji zazwyczaj tworzą "łatę" lub "poprawkę" blokującą dziurę w zabezpieczeniach. W rezultacie producenci, eksperci do spraw bezpieczeństwa oraz twórcy wirusów biorą udział w niekończącym się wyścigu, kto pierwszy odnajdzie jakiś słaby punkt.

W ostatnich latach przedział czasu między odkryciem słabego punktu a stworzeniem szkodliwego kodu wykorzystującego dziurę w zabezpieczeniach zmniejsza się. Oczywiście najgorszy z możliwych scenariuszy to tak zwany "exploit zero-day" - szkodliwy kod publikowany przez hakerów w dniu wykrycia luki w oprogramowaniu, gdy nie ma jeszcze usuwającej ją łaty. Nie pozostawia on producentom czasu na stworzenie łaty, a administratorom IT na wdrożenie innych środków zabezpieczających.