Me temo que eso de vender vulnerabilidades tiene ya algun tiempo. De hecho hay gente que vive de ello. Las mas cotizadas creo recordar que son los remote exploit para cosas como apache y ssl.
En esta charla hablan sobre ese tema, dura hora y media aproximadamente, no tratan todo el tiempo este tema pero merece la pena verla.
http://www.youtube.com/watch?v=_z0slL7RcFQ