いま、 <http://foo.example/bar/?title=hoge> で、 title=hoge が変数 $title とその値 "hoge" として取り出せる とします。サーバー側でこれを処理する時に、
<h1>$title</h1>
そのままとすると、結果 "<h1>hoge</h1>" となります。
ところが、仮に $title が "foo</h1>bar<h1>FOO" のような 内容であるとしたら、それがこのまま使われると、おそらく 作者が意図しなかった結果になります。
これだけなら文章構造 (と表示) が乱れるだけだから良いような ものですが、 HTML の script要素などを悪用すると 閲覧者に危害を加えることになりかねません。ある程度限定 された範囲・条件とはいえ、閲覧者の個人情報を第3者が 入手することが可能になります。