Im Grunde würde es genügen, wenn einer der Entwickler eingeweiht ist, und einige wenige solcher Schwachstellen in einer zentralen Komponente integriert.
Dies muss ja nicht überall der Fall sein.

Allerdings halte ich das Szenario der Ausnutzung von regulären Zero-Day-Exploits für wahrscheinlicher. Es ist kein Geheimnis, das die Geheimdienste dieser Welt diese gerne aufkaufen und vorhalten.