Elke keer dat een programma een functie aanroept vanuit een gedeelde bibliotheek (zoals die in de map `/lib` van een Linux-systeem), gaat de aanroep doorgaans via de PLT. Het IP-register verwijst naar de instructie die momenteel wordt uitgevoerd. Daarom biedt het volgen van de unieke instructieaanwijzers (IP's) die verwijzen naar de PLT een indicator van de verscheidenheid en het aantal functies dat het programma gebruikt.

Een hoog PLT IP-aantal kan het volgende suggereren:

* Gebruik van veel bibliotheken: Een legitiem programma dat een breed scala aan functionaliteiten gebruikt, heeft uiteraard een hoger PLT IP-aantal.

* Verduisteringstechnieken: Auteurs van malware kunnen veel functies gebruiken in een poging detectie te omzeilen.

* Polymorfisme: Malware kan dynamisch verschillende functies laden en gebruiken, wat leidt tot een fluctuerend PLT IP-aantal.

Omgekeerd zou een laag PLT IP-aantal het volgende kunnen suggereren:

* Beperkte functionaliteit: Een eenvoudig programma gebruikt mogelijk maar een paar functies.

* Gerichte aanval: Malware richt zich mogelijk slechts op een paar specifieke systeemfuncties om de voetafdruk ervan te minimaliseren.

Het is belangrijk op te merken dat het PLT IP-aantal alleen geen definitieve indicator is voor kwaadwillige activiteit. Het is slechts één stukje informatie dat wordt gebruikt in combinatie met andere dynamische en statische analysetechnieken om het gedrag en de potentiële dreiging van een programma te beoordelen.