Для всех, у кого есть эта проблема, я исправил проблему. Facebook отправляет "php" как пользовательский агент. Если на вашем сервере включена защита Modsec, она выдаст ошибку 406 с «Совпадающая фраза» PHP »в REQUEST_HEADERS: User-Agent.» как оправдание. Чтобы исправить это, вам нужно написать правило для modsecurity, чтобы разрешить или отключить modsecurity. Facebook действительно должен изменить свои заголовки, чтобы этого не происходило, и вы могли запустить свой брандмауэр, как и должно быть.