CAPEC et CWE sont deux bases complémentaires maintenues par MITRE, mais elles n’ont pas le même objectif. CWE décrit des faiblesses techniques dans le code ou la conception (ex. : absence de validation d’entrée), tandis que CAPEC décrit des méthodes d’attaque exploitant ces faiblesses (ex. : injection SQL).
En d'autres termes, CWE se concentre sur la cause, tandis que CAPEC se concentre sur l'action de l'attaquant. Les deux peuvent être reliés : un modèle CAPEC précise souvent quelles CWE il cible, ce qui permet de faire le lien entre la vulnérabilité théorique, l’exploitation pratique, et les CVE associées.