Если это какая-то форма для поиска, то у тебя скорее всего пропущен вопросительный знак, то есть /forum/?q=...etc...
, это GET-параметры в HTTP.
А если там реально так надо, то надо искать уязвимости в какой-то библиотеке которую использует приложение, либо использовать разные cheatsheet'ы (если санитизация выполнена криво).