脆弱性分析は、事前に設定されたパターンを認識して分析する方法で、さまざまな範囲の脆弱性を検出することができるという利点があります。
しかし、あくまでも設定された情報に基づいて脆弱性を分類化するため、スキャンエンジンに応じて、いくつかの誤検知(false positive)が発生する場合もあります。
特定のフレームワークではなく、ユーザー独自開発アプリケーションの場合にセキュリティ上の深刻な欠陥を検出できません。
また、検査されたネットワークに特化されていないネットワーク要素間との任意の接続も現れず、現実的な脅威かどうかを判断することが難しいので、現実的なハッキングの脅威とは比較されにくい部分があります。

脆弱性分析は、自動化されたツールが一回につき一つの問題を質疑するので、全体的な流れを把握することができません。侵入テストの場合は専門エンジニアの経験と判断、推論と技術をもとに、自動化ツールと相反する結果を提供します。例えばログインフォームを保護するためのCAPTCHAのようなセキュリティ強化機能を使用している場合、脆弱性分析、スキャナは単純な画像であると判別する一方、侵入テストの場合は、その機能(Function)の脆弱性を検出します。もし、お客様のユーザー名やパスワード、または口座番号がURLパラメータで使用されている場合、セキュリティエンジニアはビジネスロジックを用いてこの脆弱性の対応方法を提出しますが、脆弱性スキャナはお客様のビジネスロジックを用いることができません。