Mmmm mas bien es como te hagan el envío, la variable debe de estar correctamente escapada, por ejemplo en PHP, utilizas urlencode() para codificar la variable correctamente, es por eso que la variable tiene que venir asi limpia, para que con PHP la puedas tomar.

Ahora si solo haces un echo $_GET['variable'] sobre un archivo html, se van a interpretar las etiquetas y es por eso que solo te da 2, si quieres ver el XML lo mejor es algo así:

Saludos.