Решено:
/ торт / LIBS / контроллер / компоненты / security.php: 386
изменение
preg_match_all('@(\w+)=([\'"]?)([a-zA-Z0-9=./\_-]+)\2@', $digest, $match, PREG_SET_ORDER);
до
preg_match_all('@(\w+)=([\'"]?)([a-zA-Z0-9=./?&\_-]+)\2@', $digest, $match, PREG_SET_ORDER);
Параметры теперь можно передавать в форме /locations.xml?key=value с включенной дайджест-аутентификацией.