В спамофильтр затесался домен thepiratebay.org в качестве стоп-слова, исправлено.

"Поддельный запрос" -- это не бага, а фича, которая по-умному называется CSRF Protection (защита от подделки запросов другими сайтами). Для того, чтобы вражеские сайты не могли воспользоваться вашими куками, чтобы при помощи JavaScript или хитро сформированного тэга типа <img src="http://samizdat/publish?content=some_spam&confirm=yes">; нагадить на этом сайте, в каждую форму, которая что-либо меняет на сайте (например публикует сообщение или голосует по тэгам), включается уникальный код, он же записывается в вашу сессию. Если при проверке формы код в сессии и код в форме не сходятся, значит есть вероятность, что вы эту форму в глаза не видели и за вас её пытается заслать вражеский JavaScript. Также это может случаться, если например вы открыли две формы с кодами одновременно -- код первой из них будет затёрт при загрузке второй. Если такое случается, достаточно перезагрузить форму, чтобы для неё нагенерился новый код.