Эксплойт из GitHub‑а, как правило, со временем попадает в специализированный сплойт-пак, НО НЕ ВСЕГДА!

Вот, например, Com­mand Injec­tion — SAP NetWeaver (CVE-2022–22536), которая также входит в недавний расширенный англосаксонский список. Видим, что для этой уязвимости эксплойты есть только на гитхабе. И, судя по описанию, они валидные. А если мы выпустим отчёт Vul­ris­tics с –vul­ners-use-github-exploits-flag "False", то мы эту информацию потеряем. Так что имейте в виду и используйте опцию с осторожностью. 😉