Lenk nicht ab, du @VIP -Gesandter. 
Nachfragende wie dich, die die Wahrheit vertuschen und irreführende Aussagen treffen, nennt man übrigens Propaganda und ich bin kein Freund von Agenda-Setting was dann wohl meine aggresivitiät erklärt.
Ich bin seit über 15 Jahren im Websecurity-Bereich (SQLi/XSS) unterwegs, und deshalb nehme ich solche Aussagen ernst. Wenn jemand „HIGHS“ und „Feierabend-Lücken“ behauptet, aber bis heute nichts Reproduzierbares liefert nachdem sich die ersten „Belege“ schon als Fakes/False Positives herausgestellt haben dann ist das nicht okay.
Zwei Tage sind bei einem Full-Scan absolut nichts Ungewöhnliches, je nach Scope, Login-Bereichen, Crawl-Tiefe, Rate-Limits/WAF und vor allem, wenn man Findings sauber verifizieren will aber was schreib ich dir denn.
Da zitiere ich gerne deine Vorstellung:
Es ist dann aber schon ein Nachteil, wenn man zu Themen mitreden will, von denen man keine Ahnung hat. Dann sollte man besser nicht seinen Senf dazugeben.