Das veröffentlichen ist erst mal nicht strafbar. Es gilt nur nicht als guter ton, und macht meist auch keinen Sinn.
Im Normalfall meldet man die Lücke der betreffenden Firma und lässt ihr eine gewisse Zeit (ein paar Monate) um diese zu fixen. Sobald das getan ist und das Update verteilt wird publiziert man die Lücke. Manchmal verringert man die Zeit, wenn die Firma z.B. absolut nicht daran interessiert ist die Lücke zu schließen - so erzeugt man öffentlichen Druck sie zu schließen.
Wenn du die früher veröffentlichst unterstützt du im Grunde kriminelle, die deine Arbeit ausnutzen um Schaden anzurichten. Und du verlierst die Möglichkeit von eiem Bug Bounty Programm zu profitieren - gute Lücken bringen viel Geld. Und selbst wenn du eher auf der dunkeln Seite stehst (sprich es dir egal ist ob sie gefixt wird), dann verkaufst du den Exploit an Firmen.