Citando un problema de seguridad, Microsoft anunció que está eliminando BinaryFormatter de la plataforma de aplicaciones de código abierto .NET 9 planeada. Microsoft describió el riesgo de usar BinaryFormatter en una publicación de blog del 28 de agosto, afirmando: «Cualquier deserializador, binario o de texto, que permita que su entrada contenga información sobre los objetos que se crearán es un problema de seguridad esperando a ocurrir». Un método deserializador se puede utilizar como un vector para ataques DDoS contra aplicaciones que consumen. La publicación de la compañía enlaza a una definición de enumeración de debilidades comunes (CWE) que describe el problema: CWE-502: Deserialización de datos no confiables. Al decidir eliminar el formateador de .NET 9, que se lanzará como producción en noviembre, Microsoft dijo que cree firmemente que .NET debería facilitar a los usuarios hacer lo correcto y dificultar, si no imposible, hacer lo incorrecto. El lanzamiento de una tecnología que se considera ampliamente como insegura contrarresta este objetivo, dijo la compañía. BinaryFormatter se excluyó anteriormente de .NET Core 1.0, pero la demanda de los clientes hizo que se restableciera en .NET Core 2.0. Desde entonces, ha habido un camino para eliminar BinaryFormatter, desactivándolo lentamente de forma predeterminada en varios tipos de proyectos, pero ofreciendo indicadores de inclusión voluntaria si aún es necesario para la compatibilidad con versiones anteriores.