Акунетикс реагирует так.

Если через параметр можно протащить пэйлоад в виде &param2, то считается, что HTTP Pollution Есть.

По факту, это лишь означает, что в значении параметра можно протащить спецсимволы, которые не преобразятся а отразятся в чистом виде в теле Веб-страницы. Так что по сути - копай через этот параметр XSS.