Über die drei Wettbewerbstage verteilten sich die Prämien wie folgt: Am ersten Tag sammelten die Teilnehmer 523.000 Dollar für 24 einzigartige Zero-Days ein, am zweiten Tag 385.750 Dollar für 15 weitere Schwachstellen und am dritten Tag noch einmal 389.500 Dollar für acht zusätzliche Lücken.

In der Gesamtwertung setzte sich DEVCORE durch. Das Team erreichte 50,5 „Master of Pwn"-Punkte und 505.000 Dollar, nachdem es Microsoft SharePoint, Microsoft Exchange, Microsoft Edge und Windows 11 kompromittiert hatte. Dahinter folgten STARLabs SG mit 242.500 Dollar (25 Punkte) und Out Of Bounds mit 95.750 Dollar (12,75 Punkte).

Die höchste Einzelprämie von 200.000 Dollar ging an Cheng-Da Tsai, auch bekannt als Orange Tsai, vom DEVCORE Research Team. Er verkettete drei Fehler, um auf Microsoft Exchange eine Remotecodeausführung mit SYSTEM-Rechten zu erreichen. Bereits am ersten Tag hatte Orange Tsai weitere 175.000 Dollar für einen Ausbruch aus der Sandbox von Microsoft Edge erhalten, bei dem er vier Logikfehler aneinanderreihte.

Am ersten Tag wurde Windows 11 dreimal gehackt. Valentina Palmiotti (chompie) von IBM X-Force Offensive Research erhielt 70.000 Dollar dafür, dass sie Root-Rechte auf Red Hat Linux for Workstations erlangte und einen Zero-Day im NVIDIA Container Toolkit ausnutzte.

Am zweiten Tag demonstrierten die Teilnehmer eine weitere lokale Rechteausweitung in Windows 11, eine Rechteausweitung auf Root-Ebene in Red Hat Enterprise Linux for Workstations sowie Zero-Days in mehreren KI-Coding-Agenten. Am dritten und letzten Tag wurden Windows 11 und Red Hat Enterprise Linux for Workstations erneut angegriffen; zudem nutzten die Forscher einen Speicherfehler (Memory Corruption) aus, um VMware ESXi zu kompromittieren.

Nach dem Ende des Wettbewerbs haben die Hersteller 90 Tage Zeit, Patches bereitzustellen, bevor die Zero Day Initiative (ZDI) von TrendMicro die Schwachstellen veröffentlicht. Zum Vergleich: Beim Pwn2Own Berlin des Vorjahres, den das Team STAR Labs SG gewann, vergab die ZDI 1.078.750 Dollar für 29 Zero-Day-Lücken sowie einige Mehrfachfunde derselben Fehler.