Solo por curiosidad, es realmente necesario incluir esos caracteres en la URL?

De hecho, si estás usando URLs amigables, lo más recomendable es evitar el uso de cualquier caracter especial porque, generalmente, deben escaparse para evitar este tipo de problemas.

Luego, se me ocurre que la redirección 403 podría no ser enviada por el servidor, sino por el framework que estás usando; lo cual es sencillo de averiguar si editas el index.php para agregar un die('Aquí no hay redirección'); lo que te dará una pista para buscar la solución.

Edición:

Según recuerdo, algún módulo de seguridad en Apache también podría considerar la presencia de esos caracteres en la URL como intento de ataque.