Spørsmålet ditt er såpass generelt at det er umulig å svare.
Gjelder det:
Åpne eller lukkede apier?
Er det sensitiv data som blir eksponert?
Passiv eller aktiv rekognosering?
Norsk eller utenlandsk mål?
Er det en kjent sårbarhet eller nulldag?
Har du kun dokumentert sikkerhetshullet eller har du også utnyttet hullet?
Vil avsløringen føre til økonomiske tap for den det gjelder?

Dette er et felt hvor lovverket ikke henger helt med i tiden og som er fullt av fallgruver og jeg anbefaler å lese om dommen i vegvesen saken hvor det har blitt etablert rettspraksis rundt bruk og utforsking av APIer som er eksponert mot offentligheten.

Bergen kommune saken er også interessant.

Type data som blir eksponert grunnet et sikkerhetshull vil også ha betydning for hvordan du skal varsle, om du finner et hull som eksponerer helsedata til privatpersoner så vil dataen legge føringer for hvordan du bør gå frem rundt offentliggjøring av hullet.
Dersom du får tilgang til persondata og lagrer dette så må du ha rutiner for å sikre at dette ikke kommer på avveie eller så er det plutselig du som er sikkerhetshullet.

Det vil være enklere å svare dersom du kommer med et konkret eksempel.