There is just no need for a highly skilled person to spend a week on proving exploitation if a fix is a one-liner, done, tested, and deployed in an hour of active work.

Co?? Synek, to trzeba na spokojnie!
Zrób ticketa, weźmiemy na backlog grooming za dwa tygodnie. Ktoś przeanalizuje na szybko w 2-3 dni i może na koniec przyszłego miesiąca wejdzie do sprintu.
Może, bo nie jest pewne, czy jakiś stakeholder to zasponsoruje.
No ale jak dobrze pogadasz, to niewykluczone, że za 1.5 miesiąca pójdzie do testów. Czyli tak pod koniec roku pewnie będzie można wdrożyć. Tylko lepiej nie przed świętami. W styczniu byłoby bezpieczniej.