FORM을 통해서 GET 요청이 보내질 때 인코딩 작업을 수행하여 "fl%61g"라고 보낸 값이 "fl%2561g"로 변환되게 됩니다.
%25는 '%'을 의미합니다.

"fl%2561g"값이 서버에 도착할 때에는 이 값을 한 번 디코딩해서 "fl%61g"로 변합니다.
서버 입장에서는 '%' 뒤에 붙은 두 숫자만을 가지고 디코딩하기 때문에 "%2561"에서 뒤에 있는 61는 인/디코딩과는 관련이 없는 순수 문자라고 생각합니다.
그렇기 때문에 61는 그대로 남게되고 %25는 '%'가 돼 최종적으로 %61만 남게된 것입니다.

즉, 서버가 받은 값은 "fl%61g"입니다.
그렇기 때문에 필터링에 걸리지 않게 된 것입니다.