В случае участия компании в программах bugbounty - изучайте условия, scope, все описано включая цен вознаграждения.
В случае отсутсвия подобных мероприятий, и отсутсвие информации на самом сайте, попробуйте обсудить данный вопрос с приближенными к it или dev отделу людьми по доступным каналам связи.
Ссылки на bugbounty описаны другими людьми к этому вопросу.
Что касаеться ожидаймости/реальности.
В первую очередь предоставление PoC, грамотно составленный репорт, и как минимум учитывая условия, в случае bounty используйте сервисы h1 и т.п., так как в первую очередь сервис выступает в роли гаранта между ресёрчерами и вендроами.
По существу, баг репортов заваливаеться не один десяток ежедневно в крупных компаниях. Факт, рассматриваються далеко не все, еще бОльший факт, оплачиваються лишь те которые реально конструктивно описаны и предоставляют серьезные последствия и то в меру общей "картины".
Конкретно по заданному вопросу, уязвимость да, серьезная. Но в случае обсуждения данного вопроса без сервиса гаранта, любой намек на ssl/hb/дамп памяти - даст понять в чем же проблема, и найти ее не составит никакого труда, да и если уж по честному, я бы с трудом назвал это "найденной" уязвимостью. Думаю по существу вопроса, можно оценить начальный уровень компитенции, и тупо скан на "удачу" портов. Только найденная HB еще не значит что все так удачно. Попробуйте провести хоть какие-то действия которые могут повлечь за собой серьезнее последствия чем пару пар куков возможно даже не авторизированных юзеров.
Я бы такой репорт бы максимум оценил за спасибо. На большее я думаю не стои расчитывать. Уж темболее взяв черный рынок, Вас, заставят предоставить информацию о товаре. И вы подарите уязвимость бесплатно, а скрыть тип уязвимости и раз уж крупный вендор, ссылку или название бренда, как-то до получения средств шансы порядка сотых нуля %.
Ну и к тому же, можете повлечь всем этим не очень хорошие последствия, даже обращаясь к вендору на прямую. У вас слова, у них логи. Рулить будут не слова)