John Heasman ze znanej w środowisku bezpieczeństwa IT firmy NGSSoftware opisał nowy wektor potencjalnego uruchomienia konia trojańskiego na platformie PC - złośliwy kod może ukrywać się w pamięci (tzw. "expansion ROM") kart PCI i być uruchamiany przez funkcje ACPI. Autor sugeruje, że możliwe jest zainstalowanie złośliwego kodu w pamięci wbudowanej w wiele kart PCI, np. karty graficzne czy sieciowe, które mają funkcję aktualizacji firmware. Kod ten uruchamia się podczas startu komputera, jeszcze przed uruchomieniem jądra systemu. Problemem jest późniejsze "przywrócenie do życia" kodu rootkita po tym, jak system uruchomi się w trybie chronionym ale autor zlokalizował w kernelu NT odpowiednie wywołania, które to umożliwiają.
Opisana przez Heasmana technika jest potencjalną furtką, pozwalającą na ukrycie się przed antywirusem. Wprawdzie stworzenie narzędzi do sprawdzania dodatkowych pamięci i integralności ACPI jest kwestią czasu, jednak ich praktyczne wdrożenie do komercyjnych produktów może potrwać znacznie dłużej - wykrywanie rootkitów pojawiło się dopiero w 2006 roku w polskim Arcabicie i F-Secure.
Więcej: John Heasman, "Implementing and Detecting a PCI Rootkit", NGSSoftware 2006