Самый простой вариант (если это опенсорс) - глянуть изменения (коммиты) и на основе этой информации понять как реализовать эксплойт. Исследователи, которые публикуют CVE - уже имеют какой-то PoC для демонстрации уязвимости, а значит приходит к этому сами. Ну и сюда нужно добавить щепотку опыта, когда по описанию CVE можно добраться до уязвимого энд-поинта, профаззить и написать готовый эксплойт. Варианты совершенно разные и нет какой-то единой методы.