Polega na podwójnym (lub wielokrotnym) zakodowaniu znaków specjalnych w danych wejściowych, np. w celu oszukania mechanizmów walidacji lub dekodowania danych w aplikacji. Celem ataku jest umożliwienie wstrzyknięcia złośliwego kodu lub obejście zabezpieczeń.