XXX нужно вставлять не в StopText а в тело запроса. Если одновременно установлен флажок Repeat, то XXX будет заменяться на порядковый номер запроса (1 , 2 ,3 и т.д.), что дает возможность генерировать бесконечное число различных ников.
Кроме того, таким макаром можно подбирать числовые пароли.

Что касается знака # , то взломать можно только если есть возможность ввести пробел в цвете, либо если длинна строки цвета не ограничивается и можно ввести угловые скобки.

Дело в том, что HTML  в комбинации color=# , все что идет после # считает цветом, до тех пор пока не встретит пробел или >. Поэтому взломать в таком случае через кавычки, знаки = и тд невозможно.