С чего вдруг???
Если ты написал version() в 16ричном виде, то это уже не version(), а строка version(). тут никакой подставы. Тут фишка в другом совсем.
В других местах все параметры экранируются. Пробой только в этом месте. Вероятно CMS, на которой построен портал сначала сама обрабатывает урлы (режет лишнее и подозрительные слова), а потом передает дальше, в бажные скрипты ))). Скорее всего это можно обойти, но у меня вариантов пока нет.