A correspondência de local é feita em um URI normalizado que não contém uma string de consulta.
Portanto, é necessário usar um bloco if neste caso:
location /1/2/3 {
if ($arg_action != "STATUS") {
return 403;
}
add_header 'Location2' '2';
proxy_set_header Authorization "Basic BLAHBLAHBLAH";
proxy_pass http://backend;
}