Bevor die Seite mit dem Scriptaufruf an den Browser geschickt wird würde ich eine Art Zufallszahl als Session-ID in einer Datei ablegen. Diese würde ich in den Aufruf reinpacken, z.B. test.cgi?id=kjlsdlkjfkldjwieo.

Und im test.cgi würde ich beim Aufruf erst in die Datei gucken, ob die übergebene Session-ID überhaupt generiert wurde. Damit hättest Du am Ende nur von Deinem Programm legitimierte Aufrufe und alle anderen könntest Du gezielt ablehnen oder weiterleiten.