Quand quelqu'un découvre une vulnérabilité, il peut :

• contacter d'abord l'éditeur du produit concerné pour lui laisser le temps de la corriger (en général 90 jours) en éditant une nouvelle version : on parle de "divulgation responsable" ou de "divulgation coordonnée" (responsible disclosure)
• rendre directement la vulnérabilité publique, l'éditeur doit alors la corriger le plus vite possible (il a 0 jours devant lui pour le faire, d'où le nom) : on parle alors de "divulgation complète" ou de "divulgation sauvage" (full disclosure)
• garder cette vulnérabilité privée (pour son propre usage)
• revendre cette vulnérabilité

On parle de 0 day dans les cas 2, 3 et 4 (même si pour le deuxième il y a une petite subtilité).

Si la vulnérabilité est gardée privée ou revendue (les cas 3 et 4), elle sera probablement utilisée contre le produit de l'éditeur. Par exemple si elle permet de se connecter en VPN, sans compte, sur un pare-feu Cisco, les pirates vont utiliser cette 0 day contre toutes les entreprises qui ont un pare-feu Cisco, avec fonction VPN, pour rentrer dans leur réseau.

« On s'est fait poutrer par une 0-day sur notre palo alto » = un pirate a infiltré notre réseau en utilisant une vulnérabilité inconnue sur notre pare-feu Palo Alto.

Quand une entreprise importante se fait pirater, généralement elle diligente une analyse forensic pour identifier comment le pirate est rentré, afin de combler la brèche. Donc après avoir utilisé cette 0 day une dizaine de fois, quelqu'un va finir par se rendre compte que le problème vient de ce pare-feu. Il va faire des recherches, identifier la vulnérabilité et prévenir Cisco pour que ces derniers sortent une mise à jour qui corrige le problème.

Dans le cas d'une divulgation sauvage, l'éditeur est pris dans une course. Maintenant que tout le monde sait que son produit est vulnérable, il doit publier un correctif et prévenir tous ses clients de l'installer le plus tôt possible AVANT que des pirates n'utilisent cette vulnérabilité contre eux. Le nom 0 day vient d'ailleurs de la blague que 0 c'est le nombre de jour dont dispose l'éditeur pour corriger (contre 90 dans le cadre d'une divulgation coordonnée).

Les 0-day posent un défi considérable en cybersécurité car elles constituent une menace pour laquelle il est impossible de se prémunir. Même en maintenant strictement à jour tous vos logiciels, vous pouvez quand même être victime d'une 0 day, puisqu'il n'existe pas encore de mise à jour qui la corrige.
Notamment, la plupart des groupes cybercriminels d'importance dispose d'un arsenal privé de 0-day.
Donc vous ne pouvez répondre à cette menace que par des mesures palliatives : segmenter le réseau, utiliser deux pare-feux de marques différentes, etc.