Wenn ich z. B. den Code "403 Forbidden" ausgebe, dann soll entweder der Server seine Standard-ErrorDocumente schicken
Das ist, wenn ich die CGI-Spezifikation richtig verstehe, nicht vorgesehen. Das CGI-Programm muss, wenn es einmal aufgerufen ist, alle Ausgaben einschließlich der korrekten HTTP-Header selbst regeln. Die Standard-Errordokumente des Servers kommen nur dann zum Zuge, wenn das CGI-Programm gar nicht erst gestartet werden kann, weil der Server bereits einen Fehler feststellt (z.B. 401, 403, 404, 500).

Egal was die Spezifikation sagt. Ein 403 Response kann auch durch ein cgi Script ausgegeben werden. Apache 2.0 erlaubt das.

Nimm den Fall einer url
http://example.org/is_vorbidden

Der Begriff CGI ist nach aussen vollkommen wegabstrahiert.

Traditionell versteht man unter cgi so etwas
http://example.org/cgi/some.pl?query

Der Fall trifft aber heutzutage immer weniger zu.

mfg Beat