das ist meines erachtens nach eine rechtliche grauzone.
solange du nichts verändert, oder das angebot illegal genutzt hast, machst du dich eigentlich nicht strafbar.
dein anschreiben könnte jedoch in ungünstigen fällen als erpressung aufgefasst werden. "wenn du nicht zahlst, erfährst du nicht die sicherheitslücke" => gefahr, dass du sie weitergibst und sie ausgenutzt wird, wenn er nicht zahlt.
am sichersten wäre es, wenn du dem unternehmen anbietest, die sicherheitslücke darzulegen. evtl zeigen sie sich erkenntlich.