No solo un bug no implica una vulnerabilidad sino que una vulnerabilidad tampoco implica que exista un bug asociado.
Es por esto que la utilidad de evaluar la seguridad de un sistema por el numero de bugs es bastante limitada, y yo desde luego no he leido ningun paper en el tema que halla usado esta metrica.

Esto mismo viene reflejado en la fuente que cita rcalle66 (Wikipedia) en la version inglesa:
"Malicious software may attempt to exploit known vulnerabilities in a system - which may or may not be bug"
O en castellano:
"El software malicioso puede intentar explotar las vulnerabilidades de un sistema - las cuales pueden ser un bug o no"

Ademas, aun haciendo la suposicion (erronea) de que bug=vulnerabilidad, ¿cuantos bugs se han descubierto en un sistema de software no-libre como IIS?: No lo sabemos, ni yo ni nadie fuera del equipo de desarrollo.

Añado una entrevista que le hicieron a Tristan Nitot hace poco tiempo en CNet hablando sobre el tema:
http://www.news.com/2100-1002_3-6221954.html

LLegados a este punto del devate, creo que debieramos o bien aportar investigaciones originales sobre el tema que reespalden nuestra opinion, o dejarlo

RdixX, que plan has elegido finalmente??