Stando alle specifiche: https://www.w3.org/TR/REC-xml/#syntax

i caratteri & e < non possono essere stampati così come sono, ma ne va fatto l'escape, quindi nel file XML saranno sempre presenti nella loro versione "html entity", questo perché possono provocare troncature nel codice XML essendo dei caratteri speciali.

Almeno fino a qualche tempo fa c'era un bug sulle funzioni php nella gestione di questi caratteri nelle funzioni per la creazione di documenti XML, ora penso sia stato risolto e se non fai tu l'escape lo fa automaticamente PHP.
Nel codice/file xml non saranno mai presenti nel formato & e <