Ein Python-Skript namens Ghost-Route überprüft Next.js-Websites auf die Sicherheitslücke CVE-2025-29927. Diese Sicherheitslücke ermöglicht den unautorisierten Zugriff auf geschützte Routen über einen benutzerdefinierten HTTP-Header. Betroffen sind Next.js-Versionen ab 11.1.4. Das Skript erfordert das Klonen des Repositorys und die Installation der Abhängigkeiten in einer virtuellen Umgebung. Benutzer geben die Basis-URL der Zielwebsite und den zu testenden geschützten Pfad an. Ein optionales Argument zeigt die Antwort-Header an. Das Tool dient ausschließlich zu Bildungszwecken und die unbefugte Verwendung wird dringend abgeraten. Es wird die Forschung von Rachid A. Yasser Allam zu Next.js und fehlerhafter Middleware zugeschrieben. Das Skript wird unter der MIT-Lizenz veröffentlicht.