EDR（エンドポイント検出および対応）ソリューションは、バイナリインプラントに焦点を当ててスクリプトファイルを見落としていることが多い。これにより、攻撃者に機会が与えられる。BYOSI（Bring Your Own Scripting Interpreter）は、署名付きのスクリプトインタープリターを利用してEDRの検知を回避することで、この欠陥を利用する。作成者によって署名されたPHPスクリプトは、CrowdStrikeやTrellixで保護されたシステムで実行されてもアラートをトリガーしない。スクリプトはPHPアーカイブを取得して展開し、ホワイトリストに登録されたPHPバイナリを使用してインプラントを実行する。この方法により、EDRの検知を回避し、攻撃者はターゲットシステムにアクティブシェルを確立できる。PowerShellスクリプトも、わずか4行のコードでEDRの検知を回避できる。GitHubの信頼されたデプロイステータスは、この攻撃の効果をさらに高める。スクリプトは、EDRソリューションがスクリプトファイル攻撃に対して脆弱であることを示している。著者は、この技術の誤用について責任を負わないことを強調しながら、EDR保護における重要な盲点としてこの問題を指摘している。Microsoft Defenderによる検知を回避するために、PHPスクリプトの変更が必要になる可能性がある。Sentinel Oneも、この攻撃に対して脆弱である可能性がある。Sentinel Oneは、PHPファイルタイプをスキャンできないと報告されているからである。